刚进入网站,我们可以看到这样的一个界面
根据图片内容提示,“有备份网站的习惯”
日常后台扫描,发现有www.zip文件,我们进行解压得到
看到flag.php打开查看,发现没有什么有用的信息。
我们打开index.php看看
我们可以看到通过get方式传入参数select,并对参数select进行反序列化。
接下来,查看class.php
进行代码审计
我们可以看到当username=admin&&password=100时,就可以获得flag,但是我们需要先对其进行序列化。
但是当经过wakeup()函数时,username会被赋值成guest,使得无法输出flag,所以我们还需要绕过wakeup()函数。
1.构造序列化
得到O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}
2.绕过wakeup()函数
即O:4:“Name”:3:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}
但是由于private声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上0的前缀。
即O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}
最后获得flag