------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )

最新推荐文章于 2023-08-12 00:40:14 发布
最新推荐文章于 2023-08-12 00:40:14 发布
阅读量620 收藏 1
点赞数 1
分类专栏: BUUCTF刷题记录 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/113710343
版权
学到的extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组!看phpinfo时的注意点代码审计的能力字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了源码+我的一些注释源码多看几遍,找找思路,灵感<?php$function = @$_GET['f'];function filter($img){ $f
摘要由CSDN通过智能技术生成

学到的

extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组!
看phpinfo时的注意点
代码审计的能力
字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路
劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了
我当时第一反应是session得反序列化,还想着,唯有session上传点,怎么办,之类的。这也是一个跟session有关的其他的思路吧

源码+我的一些注释

源码多看几遍,找找思路,灵感

<?php

$function = @$_GET['f'];

function filter($img){
   
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';//这变成了一个正则表达式了哦
    return preg_replace($filter,'',$img);//看一下img里面有没有filter的东西,有的话,换成空格
    //其实这里要敏感一些,替换成空格了,字符数量减少,可能会存在字符逃逸的现象发生
}


if($_SESSION){
   
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;//我传入的参数值
//可能有session的反序列化,一般默认是php引擎
extract($_POST);//post数组的变量覆盖
//这里应该可以执行很多函数,比如call_user_func()整个变态函数

if(!$function){
   
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
   
    $_SESSION['img'] = base64_encode('guest_img.png');//没有传入的话就是这个
}else{
   
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));//传入的话,是这个
}

$serialize_info = filter(serialize($_SESSION));//把整个session数组给序列化了,然后进行filter过滤

if($function == 'highlight_file'){
   
    highlight_file('index.php');
}else if($function == 'phpinfo'){
   
    eval(
最低0.47元/天 解锁文章
Zero_Adam
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[安洵 2019]easy_serialize_php
a1262443306的博客
06-02 306
[安洵 2019]easy_serialize_php 1.打开网页就是源码 <?php $function = @$_GET['f']; function filter($img) { $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } i
form-serialize-and-calculate.html
01-14
form-serialize-and-calculate.html
BUUCTF-[极客大挑战 2019]PHP1
Monica的博客
09-27 3688
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
BUUCTF [安洵 2019]easy_serialize_php 1 详细讲解
最新发布
qq_56313338的博客
08-12 505
题目来自buuctf,这是一题关于php序列化逃逸的题。
CTF php反序列化总结
m0_53567065的博客
11-17 4377
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
json.zip_JSON_json c#_json-c
09-19
string jsonString = JsonSerializer.Serialize(person); ``` 反序列化则是将JSON字符串转换回对象: ```csharp Person deserializedPerson = JsonSerializer.Deserialize(jsonString); ``` 在C#中,如果你选择...
sdi入门.rar_SDI-12_单文档
09-23
1. **框架窗口类(Frame Window Class)**:这是SDI程序的主要窗口,它负责处理菜单、工具栏和其他窗口管理任务。在MFC中,通常继承自`CFrameWnd`或`CMDIFrameWnd`类。 2. **文档类(Document Class)**:存储和...
公司面试题之-腾讯PHP工程师笔试题.doc
12-18
魔术方法可以分为以下几类:__sleep、__wakeup、__toString、__set_state、__construct、__destruct、__call、__get、__set、__isset、__unset。这些方法可以在特定的情况下自动被调用,例如在对象被 serialize 时...
php_igbinary-2.0.8-1.0-nts-vc14-x86.zip
11-23
5. 使用`phpinfo()`函数检查igbinary是否已成功安装。 总之,`igbinary`扩展为PHP提供了更高效的序列化解决方案,尤其在性能敏感的场景中。正确地安装和配置此扩展,可以显著提升PHP应用程序的性能。对于Windows...
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
[安洵 2019]easy_serialize_php 1
shinygod的博客
03-04 1781
知识点:反序列化字符逃逸(2种情形),extract变量覆盖漏洞 目录反序列化字符逃逸反序列化的规则00x1:过滤后字符变多00x1:过滤后字符变少(本题就是此类型)值替换键替换 反序列化字符逃逸 一般这类漏洞,都是在序列化之后,过滤,然后反序列化引起的。 反序列化的规则 了解反序列化字符逃逸之前,先了解反序列化的规则 例如: a:2:{s:4:"user";s:5:"guest";s:8:"function";s:3:"aaa";} //第一个a代表这是一个数组序列化 php反序列化会以 ;
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 448
buuctf[安洵 2019]easy_serialize_php
[安洵 2019]easy_serialize_php反序列化对象逃逸
sGanYu
11-02 3781
知识点: get与post传参 反序列化漏洞 反序列化中对象逃逸 file_get_contents函数 单击sourc_code跳出源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; ret
easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1728
0x01、Web 1.easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
unserialize php ctf,ctf serialize 序列化和反序列化
weixin_34571272的博客
03-26 583
反序列化图片.png和往常一样,先进入网址。这里我们可以看到上面的源代码。unserialize($str) === "$KEY"我们举个例子$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$arr['address']='上海市浦东新区'; var_dump($ar...
php serialize()和unserialize()的一个坑
木子空间
09-17 7609
有个业务需求

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值