博客
关于我
2021-02-07
阅读量:290 次
发布时间:2019-03-01

本文共 1284 字,大约阅读时间需要 4 分钟。

分析题目源码

题目源码中包含了一个PHP应用,目的是通过分析源码找到隐藏的flag。首先,我们需要理解源码的工作流程,并找出其中的漏洞。

1. 初步分析

源码中包含一个filter函数,其作用是对$_SESSION中的数据进行过滤,替换掉一些特定的关键词。这个函数可以用来隐藏或篡改一些信息,可能会留下安全隐患。

2. 寻找关键点

源码中有一个show_image功能,当f=show_image时,会执行file_get_contents(base64_decode($userinfo['img']))。这意味着,如果我们能成功构造正确的$userinfo['img'],就能读取到flag.php的内容。

3. 利用反序列化漏洞

$_SESSION['img']的值是通过$_GET['img_path']参数进行处理的。如果没有img_path参数,它会设置为base64_encode('guest_img.png'),否则设置为sha1(base64_encode($_GET['img_path']))

为了构造正确的$_SESSION['img'],我们需要利用PHP的反序列化漏洞。具体来说,filter函数会将$_SESSION中的数据经过过滤处理,这可能会导致一些键的值被篡改或替换。我们需要找到一个方法,让经过过滤后的$_SESSION['img']能够被解析为我们想要的flag.php的base64编码。

4. 构造特定的序列化字符串

通过观察,我们发现filter函数会将所有包含在黑名单中的关键词替换为空。因此,如果我们构造一个特定的序列化字符串,其中包含我们想要的img键和值,经过过滤后,会保留我们构造的部分,而替换掉不需要的内容。

5. 最终构造

我们需要构造一个$_SESSION['phpflag']的键值对,其中img的值是flag.php的base64编码。这样,当f=show_image时,就能正确读取flag.php的内容。

实施步骤

  • 构造序列化字符串

    我们需要构造一个序列化字符串,使得经过filter函数处理后,能够保留我们想要的img值。例如:

    $_SESSION['phpflag'] = ';s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
  • 发送构造的数据

    将上述数据发送到应用程序中,确保f=show_image。这样,$_SESSION['img']的值会被正确解析为flag.php的base64编码。

  • 读取flag.php内容

    f=show_image时,应用程序会执行file_get_contents(base64_decode($userinfo['img'])),从而读取到flag.php的内容。

  • 总结

    通过分析源码中的filter函数和show_image功能,我们发现了一个反序列化漏洞。利用这个漏洞,我们可以构造一个特定的序列化字符串,使得经过过滤处理后,能够正确解析出flag.php的base64编码,从而读取到隐藏的flag。

    转载地址:http://zelx.baihongyu.com/

    你可能感兴趣的文章
    POP3 协议在计算机网络中的优缺点
    查看>>
    qt批量操作同类型控件
    查看>>
    Portaudio笔记-WASAPI
    查看>>
    position:fixed失效情况
    查看>>
    Qt开发笔记:QGLWidget、QOpenGLWidget详解及区别
    查看>>
    Position属性四个值:static、fixed、absolute和relative的区别和用法
    查看>>
    POSIX thread编程中关于临界区内条件变量的分析
    查看>>
    POSIX与程序可移植性
    查看>>
    posix多线程有感--自旋锁
    查看>>
    SpringBoot中集成海康威视SDK实现布防报警数据上传/交通违章图片上传并在linux上部署(附示例代码资源)
    查看>>
    POSIX标准和XSI扩展
    查看>>
    post install error,please remove node_moules before retry
    查看>>
    postcss-pxtorem 参数之selectorBlackList、exclude的用法
    查看>>
    Postek博思得标签打印机更换电脑,打印出来标签空白
    查看>>
    postfix+ dovecot搭建邮件服务器
    查看>>
    postfix在邮件服务器中的使用
    查看>>
    PostGIS 3.1.2软件安装详细教程(地图工具篇.8)
    查看>>
    PostGIS中获取所有EPSG的编码以及对应Proj4字符串
    查看>>
    SpringBoot中集成海康威视SDK实现布防报警数据上传/交通违章图片上传并在linux上部署(附示例代码资源)
    查看>>
    PostGIS在Windows上的下载与安装
    查看>>