PHP反序列化

题目：[ZJCTF 2019]NiZhuanSiWei 1

题型：PHP反序列化、PHP伪协议

一、代码审计
首先可以明确得到的是 get传参，然后根据file_get_contents($text,'r')==="welcome to the zjctf"中file_get_contents是获取$text路径的内容并转化成一个字符串，且需要与welcome to the zjctf相等，因此考虑利用data://协议————将字符串包装成一个文件进行执行
同时第二个if判断利用正则表达式过滤掉了flag，不过else中提到了useless.php。因此可以通过filter协议进行文件读取

二、PHP伪协议
首先关于data协议

需要allow_url_include和allow_url_fopen都为On data://伪协议是数据流封装器，传递相应格式的数据。
通常可以用来执行PHP代码。
data://text/plain,
data://text/plain;base64,

由于filter需要利用base64过滤器，我们这里采用data的base64的格式，同时将welcome to the zjctf转化为d2VsY29tZSB0byB0aGUgempjdGY=
因此payload前半部分可以构造为

text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

其次关于filter协议
一般是用来读取本地文件或执行PHP脚本

格式为php://filter/[write] or [read]=[过滤器]/[resource]=[文件路径]
因此payload后半部分可以构造为

file=php://filter/read=convert.base64-encode/resource=useless.php

用&符号连接两个语句

text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php

OK这个界面下给出一串编码，直接复制通过Base64去解密

三、PHP反序列化
上面给出的信息是存在一个flag.php，所以需要想办法将这个flag.php读取出来
观察这个代码，发现存在魔法方法__toString()它是在直接输出对象引用时自动调用的方法，又正好有unserialize()，那就存在反序列化漏洞！！！
对于这种魔法方法，就可以构造我们的序列化字符串，使得$password等于我们构造的字符串，然后$password = unserialize($password)将我们构造好的序列化字符串还原成class Flag对象。最后通过打印 echo $password，触发函数__toString，即可读取flag.php
最后一段payload即：

password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php"}

序列化后对象的格式

对象类型:对象名长度:"对象名":对象成员变量个数:{变量1类型:变量名1长度:变量名1; 参数1类型:参数1长度:参数1;变量2类型:变量名2长度:“变量名2”; 参数2类型:参数2长度:参数2;… …}

那么最后的payload就是：?

text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

需要注意的是我们现在要读取的是flag.php文件并不需要访问useless.php文件，所以可以直接绕过————将它的filter伪协议删除

总结：这道题考察的点其实还是对于代码的敏感度，碰到了file_get_contents()之类的要想到PHP伪协议中相对应的协议，在看到有注释的内容时一定要重点关注，一般都是解题的方向。对于PHP反序列化漏洞，一定要找到关键点，如：魔术方法、unserialize()函数等