带你走进PHP session反序列化漏洞

0x01 写在前面

前些天打了巅峰极客，遇到了一题 session 反序列化，借此机会整理一下php session 反序列化的前生今世，愿与君共勉，如若有错，还望斧正

0x02 什么是 php session

谈 PHP session之前，必须要知道什么是session，那么到底什么是session呢？

Session一般称为“会话控制“，简单来说就是是一种客户与网站/服务器更为安全的对话方式。一旦开启了 session 会话，便可以在网站的任何页面使用或保持这个会话，从而让访问者与网站之间建立了一种“对话”机制。不同语言的会话机制可能有所不同，这里仅讨论 PHP session 机制。

PHP session 可以看做是一个特殊的变量，且该变量是用于存储关于用户会话的信息，或者更改用户会话的设置，需要注意的是，PHP Session 变量存储单一用户的信息，并且对于应用程序中的所有页面都是可用的，且其对应的具体 session 值会存储于服务器端，这也是与 cookie 的主要区别，所以seesion 的安全性相对较高。

- 阅读剩余部分 -

本文首发先知社区：https://xz.aliyun.com/t/6603

0x01 S7COMM协议

S7COMM 全称S7 Communication，是西门子专有协议，在西门子S7-300 / 400系列的PLC之间运行，用于PLC编程，PLC之间的数据交换。S7协议被封装在TPKT和ISO-COTP协议中，这里就不对 TPKT 和 ISO-COTP 进行介绍了，仅仅说一些关于 S7Comm 协议部分。
S7Comm协议包含三部分：

• Header
• Parameter
• Data
  Header 的内容包含8 个字段，如下图所示：

0 – 1 字节：

Protocol Id；即协议ID，通常为0x32；

1 – 2 字节：

ROSCTR：PDU type；即PDU的类型，一般有以下值：

- 阅读剩余部分 -

0x00 前言

参加了今年的工控安全比赛，这个比赛分为线上赛（五场，每一场都可以参加，取最好成绩一场），线下复赛（前 60 名），线下决赛（复赛前三十名），我和两个同学组队，最后拿到了第三场线上第一，线下复赛第九，决赛第七名的成绩

借着九零举办活动的机会，写下此文（部分内容是两个同学做的写的内容）

0x01 第三场线上赛 WriteUp

0x02 简单的APK逆向

这是去年比赛的旧题修改了flag，解包apk得到multiprotocol.tesla.scada文件。反编译该文件通过对比正版软件，很容易得到flag（为混淆前的类名）。

- 阅读剩余部分 -

写在前面

有时候需要测试修改一些插件，如果直接在生产环境上面测试，会影响社区的正常运行，因此有必要在本地搭建一个 discourse 社区以供测试使用。

环境参数

• 操作系统：Ubuntu 18.04.2 LTS x64
• 内存：最低 1GB 推荐 2GB 以上

安装 Docker

wget -qO- https://get.docker.com/ | sh

- 阅读剩余部分 -

0x01 CheckIn

这题docker 报错不能复现（估计主办方提供的不是运行后的 docker 文件）,因此简单整理下思路。
这题是应该是仿Insomnihack 2019思路出的题。在这题里，符合以下情况均 failed：

• <?是否包含在文件内容中
• 如果文件只有扩展名(像 .htaccess, .txt)
• 文件不允许的扩展名
• 无法经过exif_imagetype的检验
• getimagesize不返回1337 * 1337

具体如何绕过就不在本文赘述，具体可以见：https://thibaudrobin.github.io/articles/bypass-filter-upload/

回到本题，本题没有那么多限制，但是与Insomnihack 2019不同的是，他使用的是 Apache 的.htaccess特性，而本题使用的 NGINX 的 .user.ini
如果看了上文那个链接的朋友，应该明白
如何去做这一题了，就是通过.user.ini来构造后门，通过.user.ini中配置的“特殊文件”，来执行自己的想要的命令，流程如下：

- 阅读剩余部分 -

AWVS Linux 破解版在 Centos7 下安装过程中存在问题记录

问题 1

运行 AWVS 安装程序时出现以下问题：

Acunetix Installer Version: v_190703137, Copyright (c) Acunetix
------------------------------------------------------------
Checking os...
Checking for dependencies...
    - dependency libXrender.so.1 not found on the system
    - dependency libXext.so.6 not found on the system
    - dependency libcairo.so.2 not found on the system
    - dependency libXss.so.1 not found on the system
    - dependency libXcursor.so.1 not found on the system
    - dependency libXfixes.so.3 not found on the system
    - dependency libXcomposite.so.1 not found on the system
    - dependency libXrandr.so.2 not found on the system
    - dependency libpangocairo-1.0.so.0 not found on the system
    - dependency libXdamage.so.1 not found on the system
    - dependency libgdk-3.so.0 not found on the system
    - dependency libatspi.so.0 not found on the system
    - dependency libXtst.so.6 not found on the system
    - dependency libgtk-3.so.0 not found on the system
    - dependency libatk-bridge-2.0.so.0 not found on the system
    - dependency libgdk_pixbuf-2.0.so.0 not found on the system
    - dependency libatk-1.0.so.0 not found on the system
    - dependency libXi.so.6 not found on the system
    - dependency libpango-1.0.so.0 not found on the system
    - dependency libcups.so.2 not found on the system
Some dependencies are not found on the system. Aborting installation.
Aborting installation

- 阅读剩余部分 -

0x00 Game

操作内容：
查看源码发现存在可疑 JS 文件：

读取发现：

构造 POST 请求，参数 score=15 时，即可读出数据

- 阅读剩余部分 -

0x01 赛题说明

0x02 曲折

题目很明显，就是一道 MP3的隐写题，按照常规思路，有三种思路：

• 直接右击txt打开，查找关键词 flag
• 查看该音频文件的波形图、频谱图，是否存在相关信息可以转化为摩斯电码
• 查看mp3 中是否含有隐藏文件，提取文件

- 阅读剩余部分 -

0x01 赛题说明

赛题说明：
只能变电站通过 61850 规约进行监控层到间隔层的数据采集，请分析网络数据包，了解 MMS 规约，进一步发现数据中隐藏的 flag。

题目:question_1531222544_JYvFGmLP49PFC0R2.pcap.zip(下载见最下方的百度云传送门)

0x02 背景知识

MMS即制造报文规范，是ISO/IEC9506标准所定义的一套用于工业控制系统的通信协议。

此处不介绍关于 MMS 协议的具体内容，只做报文简单讲解。

如果有兴趣，可以阅读此文：MMS（见最下方的百度云传送门）

- 阅读剩余部分 -