WEB新手之serialize’s revenge

  最后一道题。

         WEB新手之serialize’s revenge_第1张图片

  这道题提示比较少,一点也不友好。F12也没有什么线索。无奈之下用御剑扫下后台,发现了一个叫robots的txt文件。

  打开robots.txt文件,可以得到一段代码,如下图所示。

WEB新手之serialize’s revenge_第2张图片

  审查代码,会发现这里有一个文件包含漏洞,我们可以利用filter以base64编码的方式读出backdoor.php。于是在url加上:

?text=php://input&file=php://filter/convert.base64-encode/resource=backdoor.php,得到一堆base64编码,如下图所示(部分截图)。

 

WEB新手之serialize’s revenge_第3张图片

  然后将得到的base64密文直接拿去解码,可以得到一份php文件的源码,如下图所示。

WEB新手之serialize’s revenge_第4张图片

 

  接着在这里可以看到有三个类,分别是Flag,Secret,和Safe。其中,可以观察到Secret类里含有file_get_contents函数,这个函数可以读取文件里面的内容,而且函数上面还有一个注释,写着“fllllllag.php”。这也提示了我们需要通过file_get_contents函数来读取这个文件。然后又观察到Flag类中有一个magic函数:_toString函数。并且函数里面有一个read操作,可以触发下面的file_get_contents函数。因此推测,在serialise的时候,应该是先定义一个Flag类,然后再定义一个Secret类,接着定义一个Flag类的变量。最后结果应该就是,通过magic函数中的read函数,调用file_get_contents函数来读取fllllllag.php。

  这里补充一下,magic函数一般都是以下划线未开头命名的,在某些特殊情况会自动调用,而_toString函数是在对象被当作一个字符串使用时调用的。

  根据上面的分析,利用反序列化漏洞,可以写出:

 

WEB新手之serialize’s revenge_第5张图片

 

  跑出“O:4:"Flag":1:{s:3:"obj";O:6:"Secret":1:{s:4:"file";s:13:"fllllllag.php";}}”,之后在backdoor.php中将这串字符赋值给secret,execute。查看源码,可以得到flag。如下图所示。

WEB新手之serialize’s revenge_第6张图片

 

你可能感兴趣的:(WEB新手之serialize’s revenge)