反序列化字符串逃逸 [安洵杯 2019]easy_serialize_php1

最新推荐文章于 2024-06-14 09:49:58 发布
最新推荐文章于 2024-06-14 09:49:58 发布
阅读量511 收藏 5
点赞数 7
文章标签: 服务器 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75178803/article/details/136264565
版权

打开题目

$_SESSION是访客与整个网站交互过程中一直存在的公有变量

然后看extract()函数的功能:

extract($_POST)就是将post的内容作为这个函数的参数。

extract() 函数从数组中将变量导入到当前的符号表(本题的作用是将_SESSION的两个函数变为post传参)
function的value是由$_GET['f']传进来的
当以get方法传入img_path的情况下,$_SESSION['img']为传入的img_path进行base64加密和sha1加密

然后就是变量覆盖。如果post传参为_SESSION[flag]=123,那么$_SESSION["user"]和$_SESSION["function"]的值都会被覆盖

至于为什么post要传_SESSION[flag]=123而不是$_SESSION[flag]=123,是因为_SESSION是变量名,如果传$_SESSION,那么就会失效。

在这里题目给了我们提示

 eval('phpinfo();'); //maybe you can find something in here!

先?f=phpinfo

得到了flag文件的名字

直接改userinfo[‘img’]

payload

_SESSION[user]=flagflagflagflagflagphp&_SESSION[function]=";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"1";s:1:"2";}

flag和php是敏感字符,在使用的时候被过滤掉了,但序列化记录的字符串长度没有过滤掉,所以在序列化的时候
s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"2";}被当作了原来的value
在 echo file_get_contents(base64_decode($userinfo['img']));实现了读取flag的,目的
实现了逃逸

将/d0g3_fllllllag进行base64编码后上传,可获得 flag

得到flag

 

访白鹿
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
easy_serialize_php(反序列化字符逃逸)
weixin_45007073的博客
03-16 1020
前言 今天突然想起来代码审计好像很久没搞了,在网上找到了个2019安洵的题目。题目的考点是反序列化字符逃逸,通过字符的逃逸我们才能拿到对应的flag值。 反序列化原理 我们要了解反序列化字符逃逸的原理,首先就要先了解反序列化的原理,我们先举个简单的例子帮助理解和分析。 <?php $img["one"] = "flag"; $img["two"] = "test"; $a = serialize($img); var_dump($a); $b = unserialize($a); va
[安洵 2019]easy_serialize_php 1
shinygod的博客
03-04 1758
知识点:反序列化字符串逃逸(2种情形),extract变量覆盖漏洞 目录反序列化字符串逃逸反序列化的规则00x1:过滤后字符变多00x1:过滤后字符变少(本题就是此类型)值替换键替换 反序列化字符串逃逸 一般这类漏洞,都是在序列化之后,过滤,然后反序列化引起的。 反序列化的规则 了解反序列化字符串逃逸之前,先了解反序列化的规则 例如: a:2:{s:4:"user";s:5:"guest";s:8:"function";s:3:"aaa";} //第一个a代表这是一个数组序列化 php反序列化会以 ;
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 430
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
[安洵 2019]easy_serialize_php
qq_52907838的博客
07-22 228
打开环境,点击source_code,得到源码: <?php $function = @$_GET['f'];//GET方式传值 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g');//创建数组 $filter = '/'.implode('|',$filter_arr).'/i';//implode函数将数组中的值以‘|’分隔。 return preg_replac
[CTF][安洵 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸
Gh0st_1n_The_Shell的博客
08-28 1256
[安洵 2019]easy_serialize_php 1 首先打开靶机,只有一个链接没有其他东西 目录爆破没有爆破出来东西,打开链接,发现给出了网站源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; retu
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3038
[安洵 2019]easy_serialize_php 反序列化
反序列化逃逸&变量覆盖 [安洵 2019]easy_serialize_php1
m0_75178803的博客
02-29 1224
extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。第二个参数type用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数如何对待这样的冲突。该函数返回成功导入到符号表中的变量数目。
[安洵 2019]easy_serialize_php 详解
weixin_62306641的博客
02-14 247
在这道题中是将falg,php.......等字符串替换为空,替换完成后对象名,对象的类型,对象的长度都没变,但是内容没了。那么他就会依据长度吧后面的内容给囊括进去。反序列化中的对象是以{}作为开头结尾的,并且有对象名,对象的类型,对象的长度。但是他给出的例子中并没有$_SESSION[img'],这时候就需要利用到php反序列化逃逸。巧合地是,这时候又变成了一个完整的反序列化内容,又可以被解析,于是我们就可以依据这点来利用。从上述例子可以看出来,当序列化再反序列化后,依旧可以根据键名的到值。
2021-7-22 [安洵 2019]easy_serialize_php 知识点:变量覆盖,php反序列化字符串逃逸
m0_51326092的博客
07-22 515
文章目录前言重要知识点变量覆盖:PHP序列化和反序列化解题过程总结 前言 本身是要在昨天解这题的,结果解着解着就去做了session反序列化的题目了o(╥﹏╥)o,于是昨天的题今天做(o)/~,这个知识点也是第一次遇到,菜菜的我学习到了,翻阅了很多大佬的博客才一知半解,需要继续努力!!! 重要知识点 变量覆盖: extract示例讲解网站 extract(): 作用: 从数组中将变量导入到当前的符号表;该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
php反序列化逃逸1
08-03
}结束,后的字符串不影响正常的反序列化php反序列化逃逸知识点 - 属性逃逸般在数据先经过次 serialize 再经过 unserialize,在这个中间反序
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
租用服务器提供服务
2301_81968528的博客
06-11 530
运营网站时,虽然可以采用自己构建web服务器的做法,但是如果24小时不间断运行,不仅耗电,而且监控工作也很辛苦。在一个物理服务器上已经完成操作系统,数据库,web服务器的安装,并且在互联网上公开的服务被称为租赁服务器。此时,可以在物理服务器中安装的操作系统之上设置虚拟服务器,而将虚拟服务器作为产品提供给用户的就是VPS。租赁服务器价格低廉,但只能使用服务器提供商允许使用的功能,用户无法自由使用其他工具和编程语言了。如果是多个网站共用一个服务器,网站运营者是无法修改操作系统,数据库,web服务器的设置的。
多进程并发服务器
dc爱傲雪和技术
06-12 437
3.子进程:完成通信,接受一个客户端连接,就创建一个子进程用于通信。要实现TCP通信服务器处理并发的任务,使用多线程或者多进程来解决。2.父进程负责等待并接受客户端的连接。
Linux 常用命令 - userdel 【删除用户】
随便转转
06-12 234
userdel 这个命令源自于 “user delete”,即用户删除。这个命令主要用于在 Linux 系统中删除用户账户及其相关文件。当管理员需要移除一个用户及其在系统中的所有踪迹时,会用到这个命令。
服务器硬件的基础知识
最新发布
Pika
06-14 878
服务器是现代数据中心和企业IT基础设施的核心。本文详细介绍了服务器硬件的各个方面,包括处理器(CPU)、内存(RAM)、存储设备(HDD和SSD)、网络接口卡(NIC)、散热系统和电源。重点讨论了这些组件的特点、选择指南以及它们在提升系统性能和可靠性中的重要性,为读者提供了全面的服务器硬件基础知识。
徐州服务器租用的费用如何?
wanhengwangluo的博客
06-11 437
虽然服务器租用的费用会受到多种因素的影响,但是租用一台基本的服务器并不需要花费过多的费用,对于小型企业来说,租用服务器是一个经济灵活的选择,但是企业的业务对服务器的规格要求也是不同的,4U服务器和1U服务器的租用还是有着一定的差异的。徐州服务器租用费用会受到所提供的服务器等级的影响,IDC服务器能够提供24小时不间断的技术支持和数据备份、故障恢复等多种服务,这些服务都会使服务器租用的费用增加,一般企业中的应用程序对数据的安全性是有很高要求,这些服务是必要的。对于租用徐州服务器大概需要多少费用呢?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值