当前位置：首页 > news >正文

94，【2】buuctf web [安洵杯 2019]easy_serialize_php

news 2025/7/16 1:23:56

进入靶场

可以查看源代码

<?php
// 从 GET 请求中获取名为 'f' 的参数值，并赋值给变量 $function
// @ 符号用于抑制可能出现的错误信息
$function = @$_GET['f'];// 定义一个名为 filter 的函数，用于过滤字符串中的敏感词汇
function filter($img) {// 定义一个包含敏感词汇的数组，这些词汇会被过滤掉$filter_arr = array('php', 'flag', 'php5', 'php4', 'fl1g');// 使用 implode 函数将数组中的元素用 '|' 连接起来，并添加正则表达式的边界和不区分大小写的修饰符$filter = '/'. implode('|', $filter_arr) . '/i';// 使用 preg_replace 函数将字符串中匹配到的敏感词汇替换为空字符串return preg_replace($filter, '', $img);
}// 检查 $_SESSION 数组是否存在
if ($_SESSION) {// 如果存在，则清空 $_SESSION 数组unset($_SESSION);
}// 在 $_SESSION 数组中设置 'user' 键的值为 'guest'
$_SESSION["user"] = 'guest';
// 将从 GET 请求中获取的 'f' 参数的值存储到 $_SESSION 数组的 'function' 键中
$_SESSION['function'] = $function;// 将 $_POST 数组中的变量导入到当前符号表中
// 这意味着 $_POST 中的键名会变成变量名，对应的值会赋给这些变量
extract($_POST);// 检查 $function 变量是否为空
if (!$function) {// 如果为空，则输出一个链接，点击该链接会以 highlight_file 作为 'f' 参数值再次访问当前页面echo '<a href="index.php?f=highlight_file">source_code</a>';
}// 检查 $_GET 请求中是否存在 'img_path' 参数
if (!$_GET['img_path']) {// 如果不存在，则将 'guest_img.png' 进行 Base64 编码后存储到 $_SESSION 数组的 'img' 键中$_SESSION['img'] = base64_encode('guest_img.png');
} else {// 如果存在，则先对 'img_path' 参数的值进行 Base64 编码，再进行 SHA - 1 哈希处理，最后存储到 $_SESSION 数组的 'img' 键中$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}// 对 $_SESSION 数组进行序列化，并调用 filter 函数过滤其中的敏感词汇
$serialize_info = filter(serialize($_SESSION));// 检查 $function 变量的值是否为 'highlight_file'
if ($function == 'highlight_file') {// 如果是，则使用 highlight_file 函数高亮显示当前文件（index.php）的源代码highlight_file('index.php');
} 
// 检查 $function 变量的值是否为 'phpinfo'
else if ($function == 'phpinfo') {// 如果是，则使用 eval 函数执行 phpinfo(); 语句，输出 PHP 的配置信息eval('phpinfo();'); //maybe you can find something in here!
} 
// 检查 $function 变量的值是否为 'show_image'
else if ($function == 'show_image') {// 如果是，则对经过过滤和序列化的 $_SESSION 信息进行反序列化$userinfo = unserialize($serialize_info);// 对反序列化后得到的 'img' 键的值进行 Base64 解码，并读取该文件的内容然后输出echo file_get_contents(base64_decode($userinfo['img']));
}