博客
关于我
PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO
阅读量:381 次
发布时间:2019-03-05

本文共 1214 字,大约阅读时间需要 4 分钟。

伙伴们有什么疑问, 或者我写的有什么纰漏可以和我说呀,评论或者私信都是可以的。相互交流。学的更快!!!

PHP反序列化之SEESSION反序列化:切入学习点:jarvisoj的phpinfo

第一次写博客,,慌得很,先看源码压压惊吧 ( ̄_ ̄|||)

在这里插入图片描述

分析一波:

是一道反序列化的题,然后从ini_set能够看出来是包含session的类型,但是又不同于最最基础的那种session反序列化的题目。(这个先这样,,等我做做那种题目之后再来修改一下。。。)

这个题没有接收SESSION变量,那么就属于这个类型

没有$_SESSION变量赋值的题题

在PHP中有一个upload_process机制,会自动在$_SESSION中创建一个键值对,这个值刚好是我们用户可以控制的那部分,可以看下官方的描述

在这里插入图片描述讲真的,我没看明白。但是我找到了他的名字,学工程的嘛,会用就行(找台阶)

在这里插入图片描述当我们POST一个同名变量的时候,就能够添加一个我们可以控制键值的键值对了,嗯。

这就需要我们上传一个文件,同时POST一个与session.upload_process.name同名的变量,然后后端会自动将POST的这个变量进行序列化后,存储到session文件中。下次请求时就会反序列化这个session文件取出这个建,如果这个时候我们放入和取出这个session文件时用的session处理引擎不一样的话,就会出现任意代码执行的漏洞。

开始入手:

随便get一个phpinfo参数,先看看phpinfo有什么信息。

在这里插入图片描述可以看到默认的session引擎时php_serialize但是题目使用的引擎时php。也就是我们放入的时候是用的php方法,取出来的时候用的php_serialize方法。
左边是局部变量,右边是全局变量

啰嗦的够多了,开始操作:

1.上传一个网页,POST那个同名的参数

在这里插入图片描述

2.burp操作改包

上传burp抓包,修改filename。。。这里这里,为什么是修改filename我也不清楚哎,,,等回头再看看

在这里插入图片描述

发包,就看到了。这里有几点要注意的地方:
1.语句后面的分号不要忘写了
2.burp中把反序列化里面的双引号转义一下,避免产生歧义

在这里插入图片描述找到文件后,再找到目录就可以看到flag了。找目录的方法也有二:

一:用语句查询的方法来找

这里可以参考一下我测试的样例,理解一下各个函数的作用是什么

在这里插入图片描述
这里!!我找到为什么要修改filename了。。
在这里插入图片描述。。。就是把filename赋值到session中,其实说起来也挺无语的,没有个说服力。。

而后,就这样,看图嘛🐎

对,就是这样,,,U•ェ•*U用file_get_contents函数将文件内容写入一个字符串中,然后打印出来

二看phpinfo的信息了

phpinfo里面的全局变量的信息多的惊人

上面那个是当前执行的脚本文件的目录。然后就也是刚刚那个操作,就出来了。
好啦,,妈呀,终于写✍(糊弄)完了
链接::.

参考:https://www.cnblogs.com/zzjdbk/p/12995217.html

你可能感兴趣的文章
mysql 多字段删除重复数据,保留最小id数据
查看>>
MySQL 多表联合查询:UNION 和 JOIN 分析
查看>>
MySQL 大数据量快速插入方法和语句优化
查看>>
mysql 如何给SQL添加索引
查看>>
mysql 字段区分大小写
查看>>
mysql 字段合并问题(group_concat)
查看>>
mysql 字段类型类型
查看>>
MySQL 字符串截取函数,字段截取,字符串截取
查看>>
MySQL 存储引擎
查看>>
mysql 存储过程 注入_mysql 视图 事务 存储过程 SQL注入
查看>>
MySQL 存储过程参数:in、out、inout
查看>>
mysql 存储过程每隔一段时间执行一次
查看>>
mysql 存在update不存在insert
查看>>
Mysql 学习总结(86)—— Mysql 的 JSON 数据类型正确使用姿势
查看>>
Mysql 学习总结(87)—— Mysql 执行计划(Explain)再总结
查看>>
Mysql 学习总结(88)—— Mysql 官方为什么不推荐用雪花 id 和 uuid 做 MySQL 主键
查看>>
Mysql 学习总结(89)—— Mysql 库表容量统计
查看>>
mysql 实现主从复制/主从同步
查看>>
mysql 审核_审核MySQL数据库上的登录
查看>>
mysql 导入 sql 文件时 ERROR 1046 (3D000) no database selected 错误的解决
查看>>