m0_74925562的博客

首先有一个查询文件的功能和一个文件读取的功能，一开始以为是文件上传的漏洞，嘎嘎传(虽然我也不太熟悉文件上传)，后面发现不行，应该是网站在后端限制了文件上传的后缀，观察到这里有个文件查询的功能应该是文件读取，试一下直接读flag。通过代码审计，我们可以看到，这里有php的魔术方法，有对flag的正则匹配限制，但是这里没有unserialize()函数，猜想这里应该是利用了phar协议的反序列化来拿flag。php代码审计，文件读取漏洞，文件上传绕过，phar协议反序列化漏洞。通过winhex来修改属性个数。

this->filename一眼丁真反序列化打开代码编辑器，我们需要构造pop链，来连接入口和出口，题目中我们需要拿flag，可以看到危险函数file_get_contents()，我们可以进行文件读取，我们来研究一下如何读取这里就上面两个魔术方法我们看下这段代码输出一个$logData,当我们传入一个对象时就会触发_tostring(),所以我们一开始传入acp(),可以看到危险函数在函数echo_name里，而_tostring里刚好有这个函数，所以我们给$cinder。

可以看出filename变量最终是由时间随机生成的文件名加上白名单后缀，而title值没有进行过滤，直接拼接传入文件名的名字去掉后缀，那我们就应该这样想，是不是可以构造恶意文件名，达到特殊的目的，我们继续往下看。没有经过过滤传入了数组，然后数组被传入数据库中，然后当反序列化时利用sql语句提前闭合，来使反序列化的对象为。的触发条件是当对象被销毁时，这里肯定是需要反序列化的，用seay的全局查找功能找一下反序列化函数。将图像属性的长和高进行序列化，然后再统一存进数据库中，我们来分析一下存入数据库的函数。

笔者这里认为只要跟数据库有交互行为的都有可能产生sql注入这篇文章只分析可能存在注入的代码片段与原理，不分析攻击手法。