phpbugs代码审计第三题多重加密答案错误

phpbugs多重加密

这题官方给的答案是错的，网上给的也是错的，麻烦别直接拿给的答案来抄好吗？就想纠正一下别误导别人了

源码如下:

    include 'common.php';
    $requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
    //把一个或多个数组合并为一个数组
    class db
    {
        public $where;
        function __wakeup()
        {
            if(!empty($this->where))
            {
                $this->select($this->where);
            }
        }
        function select($where)
        {
            $sql = mysql_query('select * from user where '.$where);
            //函数执行一条 MySQL 查询。
            return @mysql_fetch_array($sql);
            //从结果集中取得一行作为关联数组，或数字数组，或二者兼有返回根据从结果集取得的行生成的数组，如果没有更多行则返回 false
        }
    }

    if(isset($requset['token']))
    //测试变量是否已经配置。若变量已存在则返回 true 值。其它情形返回 false 值。
    {
        $login = unserialize(gzuncompress(base64_decode($requset['token'])));
        //gzuncompress:进行字符串压缩
        //unserialize: 将已序列化的字符串还原回 PHP 的值

        $db = new db();
        $row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
        //mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

        if($login['user'] === 'ichunqiu')
        {
            echo $flag;
        }else if($row['pass'] !== $login['pass']){
            echo 'unserialize injection!!';
        }else{
            echo "(╯‵□′)╯︵┴─┴ ";
        }
    }else{
        header('Location: index.php?error=1');
    }

?> 

通读代码逻辑如下：

首先是将GET,POST,SESSION,COOKIE合并为一个数组$request

然后有一个db类，它会判断类中的变量where是否为空，若不为空则调用select方法根据where条件进行查询user表返回一个数组

然后判断$request数组中是否有存在token，若不存在直接返回index.php报错，若存在则先对该值进行base64加密（base64_decode），再进行字符串压缩（gzuncompress），再进行反序列化（unserialize）最后赋值给login

之后取出login中的user作为where条件user=login[user]通过db的select进行查询结果赋值给row

如果login[user]与ichunqiu字符串完全相等则输出flag（成功结果），若row[pass]不等于login[pass]则输出反序列化失败，其他情况则输出一段字符串

需要我们做的其实就是：

反解密ichunqiu，然后提交token就可以了

网上的错误答案：

$arr = array(['user'] === 'ichunqiu');
$token = base64_encode(gzcompress(serialize($arr)));
print_r($token);

?>

麻烦自己打印下看看真的相等吗

print($arr['user'] === 'ichunqiu');

正确答案：

$login = array('user' => "ichunqiu");
$token = base64_encode(gzcompress(serialize($login)));
print($token);
echo '
';
print($login['user'] === 'ichunqiu');

结果验证：

因为这题代码和数据库没给完整，为了验证结果简化代码如下

    $requset = array_merge($_GET);
	$flag = "xxxxxx";
   

    if(isset($requset['token']))
    {
        $login = unserialize(gzuncompress(base64_decode($requset['token'])));
        if($login['user'] === 'ichunqiu')
        {
            echo $flag;
        }else{
            echo "(╯‵□′)╯︵┴─┴ ";
        }
    }else{
        header('Location: index.php?error=1');
    }

?> 

错误答案获得的token

eJxLtDK0qs60MrBOAuJaAB5uBBQ=

正确答案获得的token

eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==