因为这个,可能讲的要稍微多一点,所以单独另起一篇
题目主要是session反序列化
我们主要了解这里就可以了
session.serialize_handler的引擎有看下面。
注:php_serialize是从5.5.4开始使用的。
处理器名称 | 存储格式 |
---|---|
php | 键名 + 竖线 + 经过serialize() 函数序列化处理的值 |
php_binary | 键名的长度对应的 ASCII 字符 + 键名 + 经过serialize() 函数序列化处理的值 |
php_serialize | 经过serialize()函数序列化处理的数组 |
处理器-php
我们访问网页,通过session参数传入一个2,他会在一个tmp的文件夹下面生成一个文件。
那么怎么找到这个文件呢,毕竟每一个人的路径肯定有区别的,这里我们可以Everything这个工具来搜索sess_,就可以知道路径了,接下来我们看看生成了什么。
//生成的session|s:1:"2";
竖杠的左边是他的键名,右边是他的键值。
也正是键名 + 竖线 + 经过serialize()
函数序列化处理的值
处理器-php_binary
这里就是我们使用的代码,然后传入2,这里修改了一下PHPSESSID为aaa,然后就会生成一个sess_aaa的文件。
//生成的sessions:1:"2";
session前面是还有一个字符因为不可见的缘故大家看不到。
处理器-php_serialize
老样子输入一个2,它里面文件的内容是
a:1:{s:7:"session";s:1:"2";}
这里php_serialize在内部简单地直接使用 serialize/unserialize函数,他是会自动进行反序列化这就是我们需要利用的。
这里写两个来进行举例 :
这里使用这两个
a); }}
我们这里写一串序列化的东西,看看下面那个是否会输出phpinfo()
O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}
首先我们在上面那个传入
?session=|O%3A1%3A%22A%22%3A1%3A%7Bs%3A1%3A%22a%22%3Bs%3A9%3A%22phpinfo()%22%3B%7D
记住这里要加竖杠,因为第二个文件的解释器是php,我们要让前面成为键名,后面是键值,让他只解析后面的序列化好的字符串,然后这里他会写入一个PHPSESSID里面,我们带着这个一个去访问下面那个文件。
这里我们看到属性a没有任何赋值,但是最后确实是输出了phpinfo().
我们去看看生成的文件,里面的内容是怎么样的。
a:1:{s:7:"session";s:37:"|O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}
php_serialize处理器是进行了一次php序列化,但是我们传入了一个|,在php处理器的理解是
这三部分
a:1:{s:7:"session";s:37:" //键名,这个是不解析的
| //分隔符
O:1:"A":1:{s:1:"a";s:9:"phpinfo()";} //键值
这里刚进去没有发现什么东西,这里通过dirsearch扫目录发现有www.zip
//index.php5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);}else{ setcookie("limit",base64_encode('1')); $_SESSION['limit']= 1;}?>ctfshow登陆 来源地址:https://blog.csdn.net/m0_64815693/article/details/130029366