打开靶场~
他说他有一个备份的好习惯,嘻嘻,所以我们直接用网站目录扫描工具(dirsearch,dirbuster等,亲测御剑扫了n多次没出,且不能自定义字典,建议用其他扫描工具,这里用的dirsearch)去康康有无备份文件:
扫出来一个文件,下载解压发现三个php文件,flag.php(假的),class.php,index.php
我们先看看index.php吧:
可以看到一个get方式传参select,然后对这个参数使用反序列化函数unserialize()。
序列化与反序列化:简单来说就是将原始的某个对象转换为一串数据
如上图所示,将$obj用serialize函数序列化并输出(记住这个图,后面要考)
序列化与反序列化详细参考:PHP序列化和反序列化_朵拉不会敲代码的博客-CSDN博客
然后我们再看看class.php:
审计代码,据__desstruct函数,需要将username赋值为admin,password为100,所以我们创建一个对象,包含username和password属性并赋值输出其序列化后的结果:
<?php
class Name{
private $username = 'admin';
private $password = '100';
}
$obj = new Name('admin','100');
echo serialize($obj);
//序列化结果 :O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
然后说说另一个函数__wakeup,这个函数是php中的魔术方法,在调用unserialize()既反序列化函数时会自动调用,据class.php,就会将username自动置为'guest',那么我们就无法拿到flag了,所以需要绕过:
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
O:4:"Name":6:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
我们如上图改变序列化输出结果,这个改变的数字代表了序列化对象所属的类的属性个数,因为有username和password两个属性,故值为2,当我们将其换成任意一个比2大的数时,wakeup函数就不会被调用。
但这个payload还是不能够拿到flag,原因在于username和password是私有(private)属性,所以需要在变量名前加%00,原因参考:
PHP——serialize()序列化类变量public、protected、private的区别_serialize php class_Ho1aAs的博客-CSDN博客
所以最终payload为:
?select=O:4:"Name":5:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}