[安洵杯 2019]easy_serialize_php
1.打开网页就是源码
<?php
$function = @$_GET['f'];
function filter($img)
{
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
if($_SESSION)
{
unset($_SESSION);
}
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
echo "user1 is".$_SESSION['user'];
extract($_POST);
if(!$function)
{
echo '<a href="index.php?f=highlight_file">source_code</a>';
}
echo "user2 is".$_SESSION['user'];
if(!$_GET['img_path'])
{
$_SESSION['img'] = base64_encode('guest_img.png');
}else
{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
echo "user3 is".$_SESSION['user'];
$serialize_info = filter(serialize($_SESSION));
if($function == 'highlight_file')
{
highlight_file('index.php');
}else if($function == 'phpinfo')
{
eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image')
{
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}
?>
2.看如下代码,如果$_SESSION全局变量存在,就将他销毁,然后在赋值。
if($_SESSION)
{
unset($_SESSION);
}
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
3.注意看extract($_POST); extract函数是存在变量覆盖的。
extract() 的定义和用法:
extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量
(具体用法,请自行百度)
举个例子,本来的 a = " O r i g i n a l " , 但 是 e x t r a c t 函 数 将 a="Original",但是extract函数将 a="Original",但是extract函数将my_array的数组重新导入当前的符号表,导致$a=“cat”,进而导致了变量覆盖
<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
4.直接看最下面,题目的意思就是要我们控制$userinfo[‘img’]变量,进而实现flag文件的读取。
else if($function == 'show_image')
{
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}
5.代码审计可知, u s e r i n f