buuctf-easy_serialize_php

已于 2023-04-24 16:05:51 修改
阅读量120 收藏
点赞数
文章标签: php 开发语言
于 2023-04-20 23:08:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62593857/article/details/130263646
版权

题目

 思路

先看以下部分

将 $function改为'phpinfo'看看里面有什么,发现

 可能存放了flag,再看看后面有没有能读取文件的函数,发现file_get_contents函数,参数为$userinfo中"img"键所对应的值经base64解码后的内容,而$userinfo又是由$serialize_info反序列化后得到

再看看上面的部分

  $serialize_info是$_SESSION序列化后的字符串经filter函数过滤后的值,而我们又可以通过extract函数通过post方法修改$_SESSION中的键值对,那么我们是否可以通过字符逃逸原理构造出键名为"img"的键值对呢?

在filter函数中,发现'php','flag','php5','php4','fl1g'被过滤,因为这些字符串被替换为空字符串,导致序列化后的字符串字符数量减少,但记录的长度不变,我们就可利用这点构造出自己想要的变量和值,比如:输入_SESSION[user]=flag&_SESSION[function]=lalala";},经过序列化并过滤后会得到s:4:"user";s:4:"";s:8:"function";s:6:"lalala";}";}(舍去)可以看到经过filter后user的值为";s:(这里是我随便举的例子,实际中会报错,可以在phpstudy中进行实验)

因此可构造payload

_SESSION[user]=flagflagflagflagflagphp&_SESSION[function]=";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}

最后修改一下base64编码的文件名

ytxy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ajax-axios-url-form-serialize 插件
08-19
ajax-axios-url-form-serialize 插件
Shapely-1.6.4.post2-cp27-cp27m-macosx_10_9_x86_64.whl
09-29
shapely无法读取和写数据文件,但可以基于应用广泛的一些格式和协议进行序列化(serialize)和去序列化(deserialize)操作。而且shapely不关注数据格式和坐标系统,但shapely的整合性很强,可以和GIS之类的工具协同工作...
php serialize ctf,CTF代码审计之[安洵杯 2019]easy_serialize_php
weixin_39569894的博客
03-26 208
[安洵杯 2019]easy_serialize_php考点:php反序列化逃逸}if($_SESSION){unset($_SESSION);}$_SESSION["user"] = ‘guest‘;$_SESSION[‘function‘] = $function;extract($_POST);if(!$function){echo ‘source_code‘;}if(!$_GET[‘img...
buuctf easy_serialize_php 解析
qq_73722777的博客
03-29 146
因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,于是我们尝试直接给_SESSION[img]赋值。s:59:"a做为user的属性值,读取到a的时候结束,后面的;进行了闭合,相当于吞掉了一个属性和值,接着会继续读取我们构造的img,由于总共三个属性,我在后边加上了一个属性和值,后边的序列化结果直接就被丢弃。将这里的user和function进行修改,然后这里会进行代码一开始的过滤,将变量$img中的php flag php5 php4 fl1g的字符串替换成’'空字符。
PHP反序列化-CTF-攻防世界-unseping
theenderofroot的博客
05-18 284
_wakeup方法使用waf方法对$args的内容进行了过滤,过滤掉了| &;__destruct方法检测ping是否在$method中,并调用了名为$method的方法,以数组$args中的值作为参数。综合来看就是通过$method和__construct来调用构造的ping方法,接着通过$args作为输入口进行命令的输入。此时这个最终的payload的中,我们采用单双引号绕过正则过滤,${IFS}绕过空格过滤,printf绕过/过滤。此处使用了${IFS}绕过了空格过滤,返回结果如下。
攻防世界 easy_serialize_php
CyhDl666的博客
02-25 493
上来直接给源码 直接在代码中加入自己的理解 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); //implode()函数:把数组元素组合为字符串: $filter = '/'.implode('|',$filter_arr).'/i'; //$filter的值就是/php|flag|php5|.
easy_serialize_php(反序列化字符逃逸)
weixin_45007073的博客
03-16 1020
前言 今天突然想起来代码审计好像很久没搞了,在网上找到了个2019的安洵杯的题目。题目的考点是反序列化字符逃逸,通过字符的逃逸我们才能拿到对应的flag值。 反序列化原理 我们要了解反序列化字符逃逸的原理,首先就要先了解反序列化的原理,我们先举个简单的例子帮助理解和分析。 <?php $img["one"] = "flag"; $img["two"] = "test"; $a = serialize($img); var_dump($a); $b = unserialize($a); va
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 402
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
buuctf easy_serialize_php
qq_52671379的博客
03-30 1871
buuctf easy_serialize_php
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解)
小宇的web博客
02-24 1657
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解) 1.先看题目,出现了一段代码,进行代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla
BUUCTF [安洵杯 2019]easy_serialize_php
m0_62107966的博客
09-24 517
BUUCTF [安洵杯 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
form-serialize
05-16
受dominicbarnes / form-serialize的大力启发,但可与npm一起使用,并且本身不包含transform功能。 用法 serialize ( form ) == // {username: 'user1', password: 'my password'} < input name =' username ...
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 264
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
源码编译安装LAMP
潇的博客
06-12 827
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
无回显XXE攻击:隐秘的数据泄露技术
最新发布
weixin_43822401的博客
06-14 367
无回显XXE攻击是一种隐蔽的数据泄露手段,攻击者可以在不引起目标服务器注意的情况下获取敏感信息。了解这种攻击的原理和防御策略对于保护网络安全至关重要。通过本文的介绍,希望读者能够提高对无回显XXE攻击的认识,并采取相应的防护措施。
软考初级网络管理员_07_网络单选题
2301_80961833的博客
06-12 904
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
easy_serialize_php
03-16
easy_serialize_php 是一个 PHP 库,用于将 PHP 对象序列化为字符串,以便在不同的应用程序之间传输和存储。它提供了一种简单的方法来序列化和反序列化 PHP 对象,使得数据传输和存储变得更加方便和高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值