Day2
flag.php(点了login咋没反应)
![](https://img-blog.csdnimg.cn/2022010612064621006.png)
本题要点:代码审计、反序列化、cookie
打开链接发现:
![](https://img-blog.csdnimg.cn/2022010612064622783.png)
查看源码什么也没有
![](https://img2018.cnblogs.com/blog/1645975/201904/1645975-20190419104409213-280027699.png)
注意,题目说明中 提示是hint,试试get一个hint参数,得到源码
![](https://img-blog.csdnimg.cn/2022010612064684295.png)
代码审计:
(参考了很多大佬们的writeup,链接会放在本文最后)
我们可以看到
![](https://img-blog.csdnimg.cn/2022010612064775982.png)
代码逻辑是传入的cookie参数的值反序列化后等于KEY就输出Flag,一开始以为$KEY的值是最下面的ISecer:
www.isecer.com,结果忙活了半天发现这里其实上面$KEY的值还没有被定义,上面代码中$KEY的值应该是NULL,而不是下面的值,所以应该是反序列化的值为NULL.
若unserialize($cookie)全等于$KEY,这里注意有双引号,大体意思是:cookie的参数为ISecer,值为$KEY的序列化
之所以序列化的$KEY不为'ISecer:
www.isecer.com',是因为定义的$KEY在后面,所以执行的$KEY为NULL
用在线的php代码测试网站测试一下
![](https://img-blog.csdnimg.cn/2022010612064762108.png)
可以看到serialize($KEY)的值为 s:0:""
![](https://img-blog.csdnimg.cn/2022010612064710983.png)
现在我们来用bp抓包
![](https://img-blog.csdnimg.cn/2022010612064718374.png)
![](https://img-blog.csdnimg.cn/2022010612064753846.png)
(这里不知道什么原因没有抓到cookie,求大佬们指教)
所以手动在headers里添加了cookie
Go一下就得到了flag
![](https://img-blog.csdnimg.cn/2022010612064814135.png)
也可以通过hackbar插件来完成此操作
构造cookie :ISser = s:0:"";
注意 ; (分号)在cookie中不会被正确的上传到服务器,构造URL编码
;的URL编码为%3B
于是在火狐的HackBar插件中传入Cookie ISser = s:0:""%3B
完成!
参考资料: