php反序列化长度变化尾部字符串逃逸(0CTF-2016-pi

原文：未知世界的奇妙之旅

我们身处于一个充满神秘和奇妙的未知世界。每一次踏上之旅，都会发现令人惊叹的奇迹和令人难以忘怀的经历。今天，让我们一起开启这场未知世界的神秘之旅，那些隐藏在角落里的秘密。

我们会来到神秘古老的森林。这里树木参天，绿叶掩映下，阳光斑驳地洒在地面。时而传来鸟儿的欢快歌声，时而有野兽穿梭其间。森林深处隐藏着古老的传说和珍稀的动植物。我们将跟随勇敢的家，揭开这片森林的神秘面纱。他们将告诉我们关于森林的神奇传说和冒险故事，让我们感受到大自然的魅力和神秘。

接下来，我们将踏上荒漠之旅。荒漠是一个充满挑战和未知的地方。我们将穿过沙丘，感受沙漠的广袤无垠和荒凉之美。在这里，我们将见到那些适应沙漠环境的奇特动植物，他们将向我们展示生命的顽强和适应能力。我们还会荒漠中的古代文明遗址，了解他们的历史和文化。这些遗址见证了人类文明的辉煌和衰落，让我们对人类的过去有了更深入的了解。

我们将来到海洋的深处。海洋是地球上最大的未知世界之一。在这里，我们将见到奇异的海洋生物，他们奇特的外形和独特的生活方式将让我们惊叹不已。我们还将海底的火山、珊瑚礁和沉船等神秘景观。这些景观展示了海洋的多样性和神秘性，让我们对这片广袤的海洋有了更深刻的认识。

在这趟未知世界的神秘之旅中，我们将见证自然的奇妙和壮丽。每一次都将是一次新的挑战和体验。让我们踏上这场奇妙的旅程，用勇气和好奇心去这个世界的无尽奥秘吧！

分析：

1. 登录和注册功能正常，用于验证用户身份。

2. 在更新用户信息时，涉及到文件上传和用户信息更新等功能。可能存在反序列化漏洞的地方是在处理用户信息更新时，尤其是处理用户上传的文件时。攻击者可以尝试上传一个特殊的文件，该文件包含恶意的PHP代码或特定的序列化的数据，从而触发反序列化漏洞。

利用步骤：

1. 寻找上传文件的地方（如update.php），尝试上传一个包含恶意内容的文件。这个文件应该被上传到一个可以通过URL访问的位置。

2. 利用反序列化漏洞触发恶意代码的执行或数据的泄露。这可能涉及到构造特定的序列化数据，使其在被反序列化时触发特定的行为（例如读取文件）。由于涉及到逃逸问题，可以尝试构造包含逃逸字符的序列化数据。

3. 一旦成功触发漏洞，可能会泄露config.php的内容或通过其他方式获取敏感信息。由于可能存在过滤机制，需要仔细分析并绕过这些过滤机制。

接下来，我们将深入代码审计的奥秘。Seay代码审计系统为我们揭示了一些重要的线索。

在profile.php文件中，似乎存在一个文件读取的功能。这个地方可能是个关键节点，因为它涉及到数据的读取和处理。

在另一段代码中，我们看到了一个反序列化操作unserialize。这引起了我们的注意，因为反序列化过程中可能存在安全隐患。如果$profile['photo']指向的是config.php文件，那么这里就可能存在风险。我们可以对photo进行操作的地方是在update.php，涉及到phone、email、nickname和photo等关键信息。

假设我们有一段序列化的数据$profile，其内容如下：

```bash

$profile = a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.";s:8:"nickname";s:8:"sea_sand";s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

```

经过反序列化unserialize后，我们得到的结果是一个包含多个键值对的数组，其中包括phone、email、nickname和photo等信息。我们注意到，反序列化后，upload部分的信息消失了。这就像是一个网站的SEO优化挑战，我们需要想办法将config.php文件“悄无声息”地嵌入其中。

从数组的结构来看，我们可以猜测在提交数据时，可能最容易被利用的是nickname字段。我们可以尝试通过抓包分析来验证这一猜测，观察post请求的发送顺序，从而确定最佳的攻击点。在这个过程中，我们需要保持高度警惕，确保每一步操作都在合法和合规的范围内进行。

在设定了个人资料的轮廓之后，我们通过调用 `update_profile()` 函数来进行更新处理。这是一个专门处理用户更新个人资料的重要函数。它接受用户名和新资料作为参数，首先通过 `filter()` 函数进行过滤处理，确保输入的安全性。

关于 `filter()` 函数，它有两道正则过滤关卡。第一道过滤掉可能的危险字符，如引号等，防止SQL注入等攻击。第二道则是对包含 'select', 'insert', 'update', 'delete', 'where' 等关键词的字符串进行替换，将其变为 'hacker'，这是一种防止恶意输入的手段。这也意味着如果我们尝试利用这些关键词可能会触发安全机制。

那么，关于绕过第一个正则过滤的问题，我们需要找到一种方式在不触发过滤机制的情况下传递我们的数据。这里有一种可能的方式，那就是利用数组输入的方式绕过这个过滤。例如，我们可以尝试以 `nickname[]=` 的形式提交数据。这是一个值得进一步的思路。

接下来是关于 `$profile` 的问题。您给出了一个序列化后的数组作为 `$profile` 的示例。这里涉及到的关键点在于如何在序列化后和反序列化时处理长度变化的问题。由于 `filter()` 函数会将 'where' 等关键词替换为 'hacker'，这会导致序列化后的字符串长度发生变化。在进行反序列化时，如果这种变化超出了预期的范围，可能会导致程序出错或者产生不可预测的行为。我们需要构造一种方式，使得在过滤和序列化后，数据的结构仍然保持完整且符合预期的格式。

具体如何构造呢？我们可以尝试以一种巧妙的方式嵌入我们的数据，使其在被过滤和序列化后仍然保持有效性。例如，我们可以尝试将关键数据隐藏在看似正常的字符串或者数组结构中，或者寻找其他可能的绕过过滤机制的方式。这需要我们对代码结构和逻辑有深入的理解，同时也需要一些创造性的思考。这是一个挑战，但也是一个有趣的挑战，需要我们充分利用和反序列化相关的知识来找到解决方案。