本文共 1284 字,大约阅读时间需要 4 分钟。
题目源码中包含了一个PHP应用,目的是通过分析源码找到隐藏的flag。首先,我们需要理解源码的工作流程,并找出其中的漏洞。
源码中包含一个filter函数,其作用是对$_SESSION中的数据进行过滤,替换掉一些特定的关键词。这个函数可以用来隐藏或篡改一些信息,可能会留下安全隐患。
源码中有一个show_image功能,当f=show_image时,会执行file_get_contents(base64_decode($userinfo['img']))。这意味着,如果我们能成功构造正确的$userinfo['img'],就能读取到flag.php的内容。
$_SESSION['img']的值是通过$_GET['img_path']参数进行处理的。如果没有img_path参数,它会设置为base64_encode('guest_img.png'),否则设置为sha1(base64_encode($_GET['img_path']))。
为了构造正确的$_SESSION['img'],我们需要利用PHP的反序列化漏洞。具体来说,filter函数会将$_SESSION中的数据经过过滤处理,这可能会导致一些键的值被篡改或替换。我们需要找到一个方法,让经过过滤后的$_SESSION['img']能够被解析为我们想要的flag.php的base64编码。
通过观察,我们发现filter函数会将所有包含在黑名单中的关键词替换为空。因此,如果我们构造一个特定的序列化字符串,其中包含我们想要的img键和值,经过过滤后,会保留我们构造的部分,而替换掉不需要的内容。
我们需要构造一个$_SESSION['phpflag']的键值对,其中img的值是flag.php的base64编码。这样,当f=show_image时,就能正确读取flag.php的内容。
构造序列化字符串
我们需要构造一个序列化字符串,使得经过filter函数处理后,能够保留我们想要的img值。例如:$_SESSION['phpflag'] = ';s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
发送构造的数据
将上述数据发送到应用程序中,确保f=show_image。这样,$_SESSION['img']的值会被正确解析为flag.php的base64编码。读取flag.php内容
当f=show_image时,应用程序会执行file_get_contents(base64_decode($userinfo['img'])),从而读取到flag.php的内容。通过分析源码中的filter函数和show_image功能,我们发现了一个反序列化漏洞。利用这个漏洞,我们可以构造一个特定的序列化字符串,使得经过过滤处理后,能够正确解析出flag.php的base64编码,从而读取到隐藏的flag。
转载地址:http://zelx.baihongyu.com/