网鼎杯 2020 朱雀组phpweb&&青龙组AreUSerialz

今天主要是想学习一下反序列化，刚好今年网鼎杯这两个题涉及到了反序列化，看着wp来复现一下，主要还是学习反序列化。

phpweb

打开看到一张很励志的图片，众生皆懒狗…是这样的，额，大家共勉。
一直在刷新，反手F12，我看着没有什么。。。看wp说突破点在这

data是php的一个函数，作用是格式化本地日期和时间，并返回已格式化的日期字符串，所以在页面上能看到时间那个p应该就是显示时间的年月日啥的。
然后就知道了可以运行函数，抓包看看
看到了func和p的值，func是函数，p就是运行的值，在url中有index.php，用file_get_contents()函数读取index.php
对class类序列化，func=system,p=ls,来执行系统命令，
可以执行，序列化代码。
现在就可以执行系统命令了，在/tmp目录下找到了flag，然后cat一下拿到flag。

AreUSerialz

process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: 
";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

题目源码，看名字就大概知道了是反序列化，但是需要绕过很多东西，属实不会。。。
看了wp，protected序列化之后会生成不可见字符/00，is_valid()不会通过，所以要绕过protected，php7.1+版本对属性类型不敏感，所以可以用public来绕过。
还需要绕过这个析构方法，对op赋值为2绕过

序列化代码

在buu上直接用相对路径就可以读到，但是在比赛的时候，还用到了绝对路径。。。不会找。还用到了伪协议php://filter,在buu上用伪协议也是可以的。