찾다

 >  기사  >  백엔드 개발  >  PHP 세션 역직렬화 취약점에 대한 자세한 설명

PHP 세션 역직렬화 취약점에 대한 자세한 설명

*文
*文원래의
2018-01-03 14:10:022177검색

이 글은 주로 PHP의 세션 역직렬화 취약점을 소개합니다. 도움이 필요한 친구들이 참고할 수 있습니다. 그것이 모두에게 도움이 되기를 바랍니다.

php.ini에는 세 가지 구성 항목이 있습니다: 

session.save_path=""  --设置session的存储路径
session.save_handler="" --设定用户自定义存储函数,如果想使用PHP内置会话存储机制之外的可以使用本函数(数据库等方式)
session.auto_start  boolen --指定会话模块是否在请求开始时启动一个会话,默认为0不启动
session.serialize_handler  string --定义用来序列化/反序列化的处理器名字。默认使用php

위 옵션은 PHP의 세션 저장 및 시퀀스 저장과 관련이 있습니다.

xampp 컴포넌트를 사용한 설치에서 위 구성 항목의 설정은 다음과 같습니다. 

session.save_path="D:\xampp\tmp"  表明所有的session文件都是存储在xampp/tmp下
session.save_handler=files     表明session是以文件的方式来进行存储的
session.auto_start=0        表明默认不启动session
session.serialize_handler=php    表明session的默认序列话引擎使用的是php序列话引擎

위 구성에서는 기본 PHP 엔진 외에 session.serialize_handler를 사용하여 세션의 직렬화 엔진을 설정합니다. 다른 엔진의 경우 다른 엔진에 해당하는 세션이 다른 방식으로 저장됩니다.

php_binary: 저장 방식은 키 이름의 길이에 해당하는 ASCII 문자 + 키 이름 + serialize() 함수에 의해 직렬화된 값

php: 저장 방식은 키 이름 + 세로 막대 + serialize() 함수 직렬화된 값

php_serialize(php>5.5.4): 저장 방법은 serialize() 함수에 의해 직렬화된 값입니다.

PHP에서 기본적으로 사용되는 것은 PHP 엔진입니다. 다른 엔진으로 수정하려면 ini_set('session.serialize_handler', '설정해야 하는 엔진'); 코드를 추가하기만 하면 됩니다. 샘플 코드는 다음과 같습니다.

session 디렉토리는 /var/lib/php/sessions에 있습니다. 

<?php
ini_set(&#39;session.serialize_handler&#39;, &#39;php_serialize&#39;);
session_start();
$_SESSION[&#39;name&#39;] = &#39;spoock&#39;;
var_dump($_SESSION);

php_serialize 엔진에서 세션 파일에 저장된 데이터는 다음과 같습니다. 

a:1:{s:4:"name";s:6:"spoock";}

php php 아래의 파일 내용 엔진은 

name|s:6:"spoock";

php_binary 엔진 아래 파일 내용은 

names:6:"spoock";

이름의 길이가 4이므로 4는 ASCII 테이블의 EOT에 해당합니다. php_binary의 저장 규칙에 따르면 마지막 것은 names:6:"spoock";입니다. (갑자기 웹 페이지에서 ASCII 값이 4인 문자를 표시할 수 없다는 사실을 발견했습니다. ASCII 표를 직접 확인하시기 바랍니다.)

PHP Session의 직렬화 위험

Session 구현에는 문제가 없습니다. PHP의 경우, 피해는 주로 프로그래머가 세션을 부적절하게 사용하여 발생합니다.

저장된 $_SESSION 데이터를 역직렬화하기 위해 PHP에서 사용하는 엔진이 직렬화에 사용되는 엔진과 다른 경우 데이터가 올바르게 역직렬화되지 않습니다. 신중하게 구성된 데이터 패킷을 통해 프로그램 검증을 우회하거나 일부 시스템 방법을 실행할 수 있습니다. 예: 

$_SESSION[&#39;ryat&#39;] = &#39;|O:1:"A":1:{s:1:"a";s:2:"xx";}&#39;;

php 파일 예: 

접속 후 세션 파일의 내용은 다음과 같습니다. 
root/var/lib/php/sessions cat sess_e07gghbkcm0etit02bkjlbhac6 
a:1:{s:4:"ryat";s:30:"|O:1:"A":1:{s:1:"a";s:2:"xx";}
그러나 이때 시뮬레이션이 다른 페이지에서 읽기 위해 다른 PHP 엔진을 사용하는 경우 해당 내용은 (기본값은 php 엔진 세션 파일 읽기를 사용합니다)
a;
  }
}
// var_dump($_SESSION);
이 페이지를 방문하여 xx
xxarray(1) {
 ["a:1:{s:4:"ryat";s:30:""]=>
 object(A)#1 (1) {
  ["a"]=>
  string(2) "xx"
 }
}
를 출력하세요
 이는 php 엔진을 사용할 때 php 엔진이 키와 값 사이의 구분 기호로 |를 사용하기 때문입니다. :1:{s :4:"ryat";s:30:"을 세션 키로 사용하고 O:1:"A":1:{s:1:"a";s:2:"xx"; } 값으로, 직렬화 해제 후에는 최종적으로 클래스 A를 얻게 됩니다. 


직렬화와 역직렬화에 사용되는 엔진이 다르기 때문에 세션이 PHP 엔진을 사용하여 페이지를 로드할 때 PHP 세션 직렬화 취약점이 발생합니다. 


GCTF에 대한 세션 역직렬화 취약점 분석: 


index.php의 내용은 다음과 같습니다. php에서 직렬화 작업 데이터에 액세스하는 데 자주 사용되지만 직렬화 프로세스 중에 제대로 처리되지 않으면 일부 보안 위험이 발생할 수 있습니다. 
<?php
//error_reporting(E_ERROR & ~E_NOTICE);
ini_set(&#39;session.serialize_handler&#39;, &#39;php_serialize&#39;);
header("content-type;text/html;charset=utf-8");
session_start();
if(isset($_GET[&#39;src&#39;])){
  $_SESSION[&#39;src&#39;] = $_GET[&#39;src&#39;];
  highlight_file(__FILE__);
  print_r($_SESSION[&#39;src&#39;]);
}
?>
<!DOCTYPE HTML>
<html>
 <head>
  <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
 <title>代码审计2</title>
 </head>
 <body>
query.php의 내용은 다음과 같습니다. 
<form action="./query.php" method="POST">    
<input type="text" name="ticket" />        
<input type="submit" />
</form>
<a href="./?src=1">查看源码</a>
</body>
</html>


아이디어는 다음과 같습니다. 이 질문에서는 TOPC를 구성하고 이것이 파괴되면 echo $this->attr;가 호출됩니다. echo TOPB에서 TOPB 개체에 attr을 할당합니다. 메소드는 언제든지 자동으로 호출됩니다
__tostring에서는 unserialize($this->attr)가 호출됩니다. 토큰과 티켓은 나중에 사용되므로 나중에 판단하려면 TOPA 객체가 당연히 필요합니다. $this->obj->token === $this->obj->ticket이므로 포인터 참조는 $a->ticket =을 직렬화할 때 만들어집니다. &$a->token;, 판단을 우회할 수 있습니다. 
echo $this->attr;


将attr赋值为TOPB对象,在echo TOPB的时候会自动调用__tostring魔术方法


在__tostring中会调用unserialize($this->attr),因为后面用到token和ticket,所以显然时TOPA对象。后面判断需要$this->obj->token === $this->obj->ticket,所以在序列化的时候进行指针引用使$a->ticket = &$a->token;,即可绕过判断。


至于为什么(string)$this->obj(string)$this->obj가 플래그를 출력하는 이유는 로그인이 백그라운드에 기록되어 있기 때문입니다. 


역직렬화된 문자열에 매개변수를 지우는 __wakeup() 함수가 있을 것입니다. CVE: CVE-2016-7124를 통해 우회할 수 있는지 궁금합니다. Object의 수량을 나타내는 필드를 실제 필드보다 큰 값으로 변경하면 wakeup 기능을 우회할 수 있습니다. 최종 코드는 다음과 같습니다. 
/************************/
/*
//query.php 部分代码
session_start();
header(&#39;Look me: edit by vim ~0~&#39;)
//......
class TOPA{
  public $token;
  public $ticket;
  public $username;
  public $password;
  function login(){
    //if($this->username == $USERNAME && $this->password == $PASSWORD){ //抱歉
    $this->username ==&#39;aaaaaaaaaaaaaaaaa&#39; && $this->password == &#39;bbbbbbbbbbbbbbbbbb&#39;){
      return &#39;key is:{&#39;.$this->token.&#39;}&#39;;
    }
  }
}
class TOPB{
  public $obj;
  public $attr;
  function __construct(){
    $this->attr = null;
    $this->obj = null;
  }
  function __toString(){
    $this->obj = unserialize($this->attr);
    $this->obj->token = $FLAG;
    if($this->obj->token === $this->obj->ticket){
      return (string)$this->obj;
    }
  }
}
class TOPC{
  public $obj;
  public $attr;
  function __wakeup(){
    $this->attr = null;
    $this->obj = null;
  }
  function __destruct(){
    echo $this->attr;
  }
}
*/
 최종 페이로드는 다음과 같습니다. PHP가 csv 파일을 구현하는 방법 데이터베이스 가져오기 




PHP가 16진수 이미지 데이터를 웹페이지에 표시하는 방법에 대한 자세한 설명
위 내용은 PHP 세션 역직렬화 취약점에 대한 자세한 설명의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
php echo String Object Session xml Token 字符串 指针 var 对象 this ASCII 数据库
성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:Laravel이 로그를 작성할 수 없는 문제를 해결한 사례를 공유하세요.다음 기사:Laravel이 로그를 작성할 수 없는 문제를 해결한 사례를 공유하세요.

관련 기사

더보기