[网鼎杯 2020 青龙组]AreUSerialz

栏目: IT技术 · 发布时间: 3年前

内容简介：1.正常构造payload的话因为$op、$fliename、$content都是protected属性，序列化的的结果的属性名前面会有/002.php>7.1版本对类属性的检测不严格来绕过，将序列化里的portected属性换成public属性，就不会有/00。

题目分析

<?php

        include("flag.php");

        highlight_file(__FILE__);

        class FileHandler {

            protected $op;
            protected $filename;
            protected $content;

            function __construct() {
                $op = "1";
                $filename = "/tmp/tmpfile";
                $content = "Hello World!";
                $this->process();
            }

            public function process() {
                if($this->op == "1") {
                    $this->write();
                } else if($this->op == "2") {
                    $res = $this->read();
                    $this->output($res);
                } else {
                    $this->output("Bad Hacker!");
                }
            }

            private function write() {
                if(isset($this->filename) && isset($this->content)) {
                    if(strlen((string)$this->content) > 100) {
                        $this->output("Too long!");
                        die();
                    }
                    $res = file_put_contents($this->filename, $this->content);
                    if($res) $this->output("Successful!");
                    else $this->output("Failed!");
                } else {
                    $this->output("Failed!");
                }
            }

            private function read() {
                $res = "";
                if(isset($this->filename)) {
                    $res = file_get_contents($this->filename);
                }
                return $res;
            }

            private function output($s) {
                echo "[Result]: <br>";
                echo $s;
            }

            function __destruct() {
                if($this->op === "2")
                    $this->op = "1";
                $this->content = "";
                $this->process();
            }

        }

        function is_valid($s) {
            for($i = 0; $i < strlen($s); $i++)
                if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
                    return false;
            return true;
        }

        if(isset($_GET{'str'})) {

            $str = (string)$_GET['str'];
            if(is_valid($str)) {
                $obj = unserialize($str);
            }

        }

1.传入str，经过处理反序列化。
2.is_valid过滤：传入的string要是可见字符ascii值为32-125。
3.$op：op=="1"的时候会进入write方法处理，op=="2"的时候进入read方法处理。

利用php>7.1版本对类属性的检测不严格(对属性类型不敏感)

1.正常构造payload的话因为$op、$fliename、$content都是protected属性，序列化的的结果的属性名前面会有/00 /00(或者%00 %00)，/00的ascii为0不可见的字符如下图，就会被is_valid方法拦下来。

[网鼎杯 2020 青龙组]AreUSerialz

2.php>7.1版本对类属性的检测不严格来绕过，将序列化里的portected属性换成public属性，就不会有/00。

[网鼎杯 2020 青龙组]AreUSerialz

3.弱类型绕过

然后$obj = unserialize($str);会调用__destruct魔术方法，如果$op=

"2"的话就把$op="1"

这时候要使op

="2"不成立且op=="2"成立，这里可以自己使用op等于整数2使得进入read方法里面。

构造payload

1.非预期的解法

2.通过 php 伪协议读取

比赛的是通过读取/proc/self/cmdline下的配置文件得到网站的绝对路径然后通过php伪协议读取flag的

参考：( https://blog.csdn.net/Oavinci/article/details/106998738 )[ https://blog.csdn.net/Oavinci/article/details/106998738 ]

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持码农网

查看所有标签

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

产品心经：产品经理应该知道的60件事（第2版）

闫荣 / 机械工业出版社 / 2016-4 / 69.00

本书第一版出版后广获好评，应广大读者要求，作者把自己在实践中新近总结的10个关于产品的最佳实践融入到了这本新书中。这"10件事"侧重于深挖产品需求和产品疯传背后的秘密，配合之前的"50件事"，不仅能帮产品经理打造出让用户尖叫并疯传的产品，还能帮助产品经理迅速全方位提升自己的能力。本书作者有超过10年的产品工作经验，在互联网产品领域公认的大咖，这本书从产品经理核心素养、产品认知、战略与规划、......一起来看看《产品心经：产品经理应该知道的60件事（第2版）》这本书的介绍吧!

码农工具