今天主要是想学习一下反序列化,刚好今年网鼎杯这两个题涉及到了反序列化,看着wp来复现一下,主要还是学习反序列化。
phpweb
打开看到一张很励志的图片,众生皆懒狗…是这样的,额,大家共勉。
一直在刷新,反手F12,我看着没有什么。。。看wp说突破点在这
data是php的一个函数,作用是格式化本地日期和时间,并返回已格式化的日期字符串,所以在页面上能看到时间那个p应该就是显示时间的年月日啥的。
然后就知道了可以运行函数,抓包看看
看到了func和p的值,func是函数,p就是运行的值,在url中有index.php,用file_get_contents()函数读取index.php
对class类序列化,func=system,p=ls,来执行系统命令,
可以执行,序列化代码。
现在就可以执行系统命令了,在/tmp目录下找到了flag,然后cat一下拿到flag。
AreUSerialz
<?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
protected $op;
protected $filename;
protected $content;
function __construct() {
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
public function process() {
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
private function write() {
if(isset($this->filename) && isset($this->content)) {
if(strlen((string)$this->content) > 100) {
$this->output("Too long!");
die();
}
$res = file_put_contents($this->filename, $this->content);
if($res) $this->output("Successful!");
else $this->output("Failed!");
} else {
$this->output("Failed!");
}
}
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
private function output($s) {
echo "[Result]: <br>";
echo $s;
}
function __destruct() {
if($this->op === "2")
$this->op = "1";
$this->content = "";
$this->process();
}
}
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
if(isset($_GET{'str'})) {
$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str);
}
}
题目源码,看名字就大概知道了是反序列化,但是需要绕过很多东西,属实不会。。。
看了wp,protected序列化之后会生成不可见字符/00,is_valid()不会通过,所以要绕过protected,php7.1+版本对属性类型不敏感,所以可以用public来绕过。
还需要绕过这个析构方法,对op赋值为2绕过
序列化代码
在buu上直接用相对路径就可以读到,但是在比赛的时候,还用到了绝对路径。。。不会找。还用到了伪协议php://filter,在buu上用伪协议也是可以的。
6976
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
