Bugku CTF 反序列化

反序列化

php反序列化漏洞又称对象注入，可能会导致远程代码执行(RCE)
个人理解漏洞为执行unserialize函数，调用某一类并执行魔术方法(magic method)，之后可以执行类中函数，产生安全问题。
所以漏洞的前提：
1）unserialize()函数变量可控
2）存在可利用的类，类中有魔术方法

右键查看源码

image.png

构造读出hint.php

http://123.206.87.240:8006/test1/?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php&password=admin

image.png

解码base64

file)){  //这里$this->file 可以设置为flag.php
            echo file_get_contents($this->file); //显示flag.php内容
   echo "
";
  return ("good");
        }  
    }  
}  
?>  

我们发现查看源码时查看的源码并不完整
所以同样的方法读出index.php

";  
    if(preg_match("/flag/",$file)){ //过滤URL里的flag字眼
    echo "不能现在就给你flag哦";
        exit();  
    }else{  
        include($file);   
        $password = unserialize($password);  
        echo $password;  //可以在反序列化的过程中返回flag.php的值，并在这里显示
    }  
}else{  
    echo "you are not the number of bugku ! ";  
}  
?>  
  

总结，由于过滤不能通过文件包含的方式读取flag。如果传参file中没有flag字眼就会包含文件hint.php,反序列化password。漏洞出现---我们可以自由的传入password的值，这时我们让password是Flag类（因为给file赋值=hint.php,然后在后面的代码里包含了hint.php所以可以），并把flie）的值echo出来。

首先打开题目查看源代码以后：

从上面的代码可以看出以下信息：

通过get方法传递三个值：txt,file,password

读取$user文件的内容，并且文件内容要与‘welcome to the bugkuctf’相同

$file经提示应该为hint.php

因为file_get_contents(user这个文件的内容写到字符串里去，就是说uesr这个文件的内容读取出来就是"welcome to the bugkuctf"

这里就涉及到一个php伪协议，就是php://input，它的大概意思就是可以读取我们post传递的数据。它的详解在这篇文章中有很好的解释 https://blog.csdn.net/qq_27682041/article/details/73326435。

所以看完了这篇文章的话，你应该就知道file_get_contents()函数里面放的不止文件名哦，还可以放php的伪协议，如果把这个php://input作为文件名放进去的话，这个函数发现是一个伪协议，那作为一个“文件”，它里面肯定是没有内容的吧，那要怎么把它的内容变成一个字符串呢，它会读取我们post传递的数据作为它的”文件内容“，然后再变成一个字符串。

比如说我们现在有这么一句 file_get_contents("php://input")，然后我们又post传递了一个数据的话，那这个数据就会被php://input读取到，然后file_get_contents又把它变成字符串。

所以我们构造txt=php://input，并且post一个"welcome to the bugkuctf"试试看

网页变了，但是为什么是一个hello friend!呢。。。。我也不知道，不过我们代码中的第一层已经解开了，再往下看吧。有一个include(file)是动态读取文件名，然后又提示我们hint.php，那岂不是说我们可以直接让file=hint.php就可以得到下一步信息了！

果然还是没有那么简单。。。不然怎么引出我们第二个php伪协议呢？php://filter 这个协议现在我只知道可以用来读取网页base64编码后的源代码。用这句 file=php://filter/read=convert.base64-encode/resource=hint.php

就可以得到hint.php这个网页的base64编码后的源代码了。

image.png

光看这个代码是不是感觉信息不是很够呢，要不我们再看看index.php这个文件的源代码。

image.png

不要问我为什么知道要看index.php里的，因为这个一般是主页文件，有很重要的信息嘛，嘿嘿嘿嘿嘿嘿嘿。

可以看到这么多代码，虽然很烦，但是先从简单的地方来理解。

第一张图提示了我们flag.php，但是我们可以看第二张图，如果我们设定的文件名中包含’flag‘，那么就会跳出“不能现在就给你flag哦”然后exit（）；

继续看第二张图，第一个if告诉我们，我们之前的大前提并没有改变，但是在这个前提下还附加了一些条件，如果文件名没有"flag"了，就会把这个文件包含进来,然后password的值。什么是反序列化呢，那就要先知道序列化啦，在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构（这是百度的）。我们可以把它想成一种编码嘛。

回到第一张图，定义了一个类 FLAG，类里面有一个$file属性，并且有一个魔术方法_tostring()，这个方法的作用就是当调用实例化对象时就会自动执行_tostring（）这个方法。简单来说创造一个这个类的对象就会调用这个方法。魔术方法呢，就是一个很神奇的方法（一本正经的胡说八道），大概就是一种类里面默认的方法，你可以对它进行改造，类似于构造方法。反正大家都要了解的，去百度看看用法和详解吧。

_tostring（）方法里面又定义了如果$file这个属性有赋值的话，那么就会输出这个文件的内容（输出成一个字符串）。

所以根据上面的这些条件，我们可以让file就等于flag.php，这样我们就可以得到flag.php的内容了，不过要记得，前面$password进行了反序列化的操作，所以我们要先把它序列化。写一个php脚本吧！

image.png

我们再来理解一下反序列化的内容的意义，以便以后手写

O:4 参数类型为对象(object),数组(array)为a
"Flag":1: 参数名为Flag，有一个值
s:4:”file”;s:8:”flag.php” s:参数类型为字符串(数字为i)，长度为4，值为file。长度为8的字符串flag.php
合在一起：
object Flag，属性file：flag.php

在本地的服务器跑一下，我们就可以得到序列化的一个FLAG类咯。大家如果还没有搭本地服务器的话，推荐先自己学习一下怎么搭建环境，在本地可以自己试验各种php代码，可以自己了解数据库一些操作等等。下一个APPSERV就可以啦，这是一个合集，也是有中文的，网上都有教程的，很简单。

那最后我们就给$password赋值吧！

image.png

file = "flag.php";
        $password = serialize($password);
        print_r($password);
?>

image.png

参考资料：https://www.freebuf.com/vuls/116705.html
https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2016/babytrick/index.php
https://www.jianshu.com/p/631606cc5b76
https://www.jianshu.com/p/f87052a1c5a9