SDUTsec-writeup:源码泄露+反序列化
1.源码泄露
题目链接:源码泄露
打开链接之后整个页面只有一句话:
Flag_is_there
右键查看源代码啥也没有,试一下有没有备份文件,访问:
http://139.199.31.116:9003/index.php.bak
404,那换下一个:
http://139.199.31.116:9003/index.php.swp
可以访问,下载下来index.php.swp
(使用vi编辑器打开文件时,会生成一个.文件名.swp的备份文件,防止意外退出等情况导致文件内容丢失。产生原因主要是管理员在web目录下修改代码文件,导致生成了.swp备份文件。)
拖到kali
里执行:
vim -r index.php.swp
还原index.php:
分析源码,需要传入Username
和password
参数,要求Username
必须全部是字母组成,password
必须全是数字,如果username和password的MD5值相同
,则echo flag。
我们可以利用php中的MD5函数的漏洞,PHP在处理哈希字符串时,它把每一个以“0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以“0E”开头的,那么PHP将会认为他们相同,都是0。
以下值在md5加密后以0E开头:
- QNKCDZO
- 240610708
- s878926199a
- s155964671a
- s214587387a
- s214587387a
我们这里取前两个,传入参数:
http://139.199.31.116:9003/index.php?Username=QNKCDZO&password=240610708
得到flag。
2.反序列化
题目链接:反序列化
告诉我们只有这些,你个糟老头子坏得很,我信你个鬼0.0
只有这些:
class HELLO{
public $flag;
function FLAG(){
if($this->flag=='flag'){
echo 'flag';
}
}
}
右键查看源码发现:
<!-- 被你发现了!
if(isset($_GET["data"])) {
$data=@unserialize($_GET["data"]);
@$data->FLAG();
}
-->
分析代码,需要我们构造php序列化字符串参数传入,让他解析之后HELLO.flag的值为flag,那么就echo flag。
那么什么是php序列化字符串呢?个人感觉这篇文章讲的很通俗易懂:
FREEBUF:最通俗易懂的PHP反序列化原理分析
json格式:
unserialize():
我们的题目是用的反序列化函数,也就是第二种格式
那么我们构造payload:
http://139.199.31.116:9000/unserialize.php?data=O:5:HELLO:1:{s:4:flag;s:4:flag;}
由于我的疏忽,忘了加双引号了…现在可以了。。
http://139.199.31.116:9000/unserialize.php?data=O:5:“HELLO”:1:{s:4:“flag”;s:4:“flag”;}
网页弹窗一个base64编码的字符串,解码base64即得到flag。