本文探讨了一个PHP网站的安全问题,涉及到文件解压、PHP类的反序列化以及如何通过构造序列化字符串来绕过wakeup()函数的限制。在审计代码过程中,发现了当$username=admin&&$password=100$时可以获取flag,但需避免username字段被wakeup()函数改写。通过插入私有字段的特殊编码形式,成功绕过限制并获取了flag。
刚进入网站,我们可以看到这样的一个界面
根据图片内容提示,“有备份网站的习惯”
日常后台扫描,发现有www.zip文件,我们进行解压得到
看到flag.php打开查看,发现没有什么有用的信息。
我们打开index.php看看
我们可以看到通过get方式传入参数select,并对参数select进行反序列化。
接下来,查看class.php
进行代码审计
我们可以看到当username=admin&&password=100时,就可以获得flag,但是我们需要先对其进行序列化。
但是当经过wakeup()函数时,username会被赋值成guest,使得无法输出flag,所以我们还需要绕过wakeup()函数。
1.构造序列化
得到O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}
2.绕过wakeup()函数
即O:4:“Name”:3:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}
但是由于private声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上0的前缀。
即O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}
最后获得flag
扫一扫
7644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
