BUU40 [安洵杯 2019]easy_serialize_php

ianozo2025-02-22 10:08

题目源代码

php 复制代码 
<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
//implode 函数将数组 $filter_arr 中的元素用 | 连接成一个字符串。
// |在正则表达式中表示或的关系,所以连接后的字符串类似于 php|flag|php5|php4|fl1g。
// 前后的 / 表示正则表达式的定界符,末尾的i表示不区分大小写匹配
//最终的效果就是正则表达式匹配字符串中出现的任意一个过滤词
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
//unset()销毁整个会话数组
    unset($_SESSION);
}
//将user会话设置为guest表示当前用户为访客
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

//将 $_POST 数组中的元素提取出来,使其成为单独的变量。
//如果 $_POST 中有一个键为 function 的元素,那么会创建一个名为 $function 的变量
//其值为该元素的值。
extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

源代码中提示我们在phpinfo里面有好东西,去看看

这个意思也就是说会在php解析完了以后包含d0g3_f1ag.php,大概率flag在这里

先从头捋一下:

GET\['img_path'\]不存在的时候---_SESSION['img']=base64-en("guest_img.png")

正常的逻辑就是,你这里$_SESSION['img']的值是guest_img.png定死了的,不会读取到flag文件

那怎么办呢,有两条路,第一条路是前面POST提交一个img是flag的值【这里提交变量为_SESSION这样进去就变成了_SESSION就能混进本来的超级全局变量里头去了,好好好这么玩是吧】,第二条路就是利用php的反序列化字符串逃逸减少的情况,将原本的_SESSION['img']=base64-en("guest_img.png")吞掉(变成前一个键的值),然后后面顺理成章接着我们构造的新的$_SESSION['img']的值

很明显第一条路中后面 $_SESSION['img'] = base64_encode('guest_img.png');还会再赋值一次,这样就覆盖了之前提交的img值,不行,所以利用字符串逃逸减少

先写个序列化php,但是像原来那么写死活编译不出来,应该就是变量名不能是_SESSION的事

这样不对!!

php 复制代码 
<?php
class _SESSION
{
    $public img='Z3Vlc3RfaW1nLnBuZw==';//guest_image.png
    $public user='guest';
    $public function='show_image';
}
$a=new _SESSION();
echo serialize($a);
?>

学习到个新的写法,就是直接写$_SESSION['xxx']

php 复制代码 
<?php
$_SESSION["user"] = 'kkk';
$_SESSION['function'] = 'show_image';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);

//a:3:{s:4:"user";s:3:"kkk";s:8:"function";s:10:"show_image";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
?>

(后来发现这里头function的值可以随便取。。。)

就先试试user的值为n*php,function的值为;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==

原本想这么构造,但是又发现一个很傻的问题就是,序列化前面有三个属性,对应不上

然后改成这样

这样做了还是不行,后来发现好像是顺序错了.......

.....

换个顺序重新来

过滤后的字符串,标蓝的是php以为的user的字符串,标黄的是实际输入的function的值

再将/d0g3_fllllllag编码后提交,长度都是20不用改

拿到flag

相关推荐
寻星探路7 分钟前
【深度长文】万字攻克网络原理:从 HTTP 报文解构到 HTTPS 终极加密逻辑
java·开发语言·网络·python·http·ai·https
工程师老罗2 小时前
如何在Android工程中配置NDK版本
android
lly2024062 小时前
Bootstrap 警告框
开发语言
2601_949146532 小时前
C语言语音通知接口接入教程:如何使用C语言直接调用语音预警API
c语言·开发语言
曹牧2 小时前
Spring Boot:如何测试Java Controller中的POST请求?
java·开发语言
KYGALYX2 小时前
服务异步通信
开发语言·后端·微服务·ruby
zmzb01033 小时前
C++课后习题训练记录Day98
开发语言·c++
猫头虎3 小时前
如何排查并解决项目启动时报错Error encountered while processing: java.io.IOException: closed 的问题
java·开发语言·jvm·spring boot·python·开源·maven
YUJIANYUE4 小时前
PHP纹路验证码
开发语言·php
仟濹4 小时前
【Java基础】多态 | 打卡day2
java·开发语言
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06Linux下V2Ray安装配置指南07Claude Code Skills 实用使用手册08Vue-skills的中文文档09一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南