知识点：session 反序列化，代码审计

代码分析

flag.php 中有个 is_admin 函数的判断。

在 lib.php 中有 is_admin 函数，需要 session['admin'] 为 true，或者通过文件读取的方式。

在 index.php 中的 include 并不能使用伪协议读取 flag.php，那么要怎么使得 session['admin'] 为 true 呢？是不是可以通过 session 反序列化来绕过，我们可以全局搜一下有没有 session_start。

存在 sesson_start 那么也许真的存在 session 反序列化。

在 init.php 中我们可以看到 session 保存的目录，在 /var/www/tmp 下，那这个目录有什么特殊的呢？


session 保存的目录竟然和 node 的保存目录一样，那么怎么控制保存的文件名，怎么使得我们上传的内容 session 反序列化后能通过 is_admin 呢？

我们先看一下它的上传代码，在 add.php 中利用 add_note 函数来处理上传的信息。

而 add_note 函数功能就是把接收的 title 和 body 以及 hash 的 id，存入 $_SESSION['notes'] 列表里。

然后当我们访问 export.php 的时候，选择 tar 它就把 $_SESSION[‘notes’] 里的信息转换为 json 数据写入 TEMP_DIR / get_user() . '-' . bin2hex(random_bytes(8)) . '.' . 'tar'; 文档里最后输出出来。

我们上传个测试一下，这边用户名是 test，内容如下。

可以看到确实如讲的一样，那么我们是不是令用户名为 sess_ 也就是 session 文件保存的格式，这样就变成了 sess_-xxxxxx.tar，这个 tar 怎么处理？

我们只需要令 type 为 .，这样就会因为 str_replace 把 .. 替换为空，自然就消除了，文件名的问题解决了，那内容呢？内容就很简单了，因为 php 默认的 session 反序列化模式是 php 也就是以 | 符号为分界线，前面的是键名后面的是键值.

构造如下 title ，把前面多余的值设为空，设置 admin 为 bool(true)

|N;admin|b:1;

操作步骤

以 sess_ 为用户名登录。

写入反序列化值

把反序列化值，写入 session 格式的文件里。

获取我们伪造的 session 文件名。

修改 PHPSESSID 访问 flag，成功。