1.打开先看代码
<?php //flag in flag.php error_reporting(0); class UUCTF{ public $name; public $key; public $basedata; public $ob; function __construct($str){ $this->name=$str; } function __wakeup(){ if($this->key==="UUCTF"){ $this->ob=unserialize(base64_decode($this->basedata)); } else{ die("oh!you should learn PHP unserialize String escape!"); } } } class output{ public $a; function __toString(){ $this->a->rce(); } } class nothing{ public $a; public $b; public $t; function __wakeup(){ $this->a=""; } function __destruct(){ $this->b=$this->t; die($this->a); } } class youwant{ public $cmd; function rce(){ eval($this->cmd); } } $pdata=$_POST["data"]; if(isset($pdata)) { $data=serialize(new UUCTF($pdata)); $data_replace=str_replace("hacker","loveuu!",$data); unserialize($data_replace); }else{ highlight_file(__FILE__); } ?>首先提示了flag在flag.php中
一个四个类、UUCTF、output、nothing、youwant
UUCTF类:
里面定义了四个公共属性,name、key、basedata、ob
construct方法,里面接收一个参数$str,触发了会让$str赋值给本类的name属性
wakeup方法,触发了会有一个if语句,判断本类的key属性的值是否强等于UUCTF,如果等于就将本类的basedata属性进行一个base64解码,然后再进行反序列化,最后赋值给本类的ob属性,如果key不为UUCTF就die退出
output类:
一个公共属性a
toString方法,触发了会让$this->a对象调用它的rce方法
nothing类:
三个公共属性,a、b、t
wakeup方法,触发了会让本类的a属性赋值一个空
destruct方法,触发了会让本类的t属性赋值给本类的b属性,然后die退出并输出本类的a属性的值
youwant类:
一个公共属性cmd
rce方法,触发了会eval执行本类的cmd属性的内容
然后下面POST传参一个data,然后赋值给$pdata
if检查有没有$pdata,有的话,先让它当成实例UUCTF类的参数,再进行反序列化,随后赋值给$data,随后进行一个检查,检查$data中是否有hacker,如果有的话就给替换成loveuu!,随后将值赋值给$data_replace,最后将$data_replace进行一个反序列化的操作
2.思路构造
首先看到str_replace替换,就想到字符串逃逸,然后他的替换由6位变成了7位,那么就是字符串逃逸增多,先看一下题目再想着逃逸的点在哪里
这题的链子很容易,就是
nothing :: destruct ---> output :: toString ---> youwant :: rce
但是我们看最后的执行参数,是要再经过UUCTF类实例化一遍完并且再经过一遍序列化的
这时候看UUCTF类,它最先触发的是wakeup方法,首先要满足他的if语句,让key为UUCTF,那么指定是这里逃逸无疑了,整段代码只有这一个需要满足的,接下来看里面的语句,首先是将本类的basedata属性进行一个base64解码,然后再进行反序列化的操作,既然这里的参数是basedata属性,那么链子的值是赋值给basedata的,然后这里name属性在key属性的前面,那么就是通过name的值,来逃逸key的UUCTF和我们的序列化的值了
那么接下来链子就变成了
UUCTF :: wakeup ---> nothing :: wakeup (因为反序列化会让他先触发,他是捣乱的,使用引用的方式绕过) nothing :: destruct ---> output :: toString ---> youwant :: rce
上面这是要正常的链子,然后接下来将base64编码后的序列化后的链子值带入到UUCTF中,为了满足参数
然后先正常序列化一下UUCTF类的属性看看是怎么情况
O:5:"UUCTF":4:{s:4:"name";s:1:"1";s:3:"key";s:5:"UUCTF";s:8:"basedata";N;s:2:"ob";N;}
其中紫色的字段是传参上去代码实例化UUCTF并序列化后自带的,红色部分是要逃逸的字段,来满足key为UUCTF,黄色的字段,是为了满足后面红色要逃逸字段的替换字符hacker(这里的name赋值为1是为了方便观看要逃逸的字段)
接下来将刚才序列化的链子传递上去,看看要逃逸的字符长度
O:5:"UUCTF":4:{s:4:"name";s:1:"1";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:168:"Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjE3OiJzeXN0ZW0oJ3dob2FtaScpOyI7fX19";s:2:"ob";N;}
红色字体为要逃逸的部分,计算一下长度为228位,那么伪造228个hacker在前面
传参上去看看情况,成功执行whoami,接下来打开题目看一下
3.开始构造
然后将base64编码后的序列化的值,带入到UUCTF类中
要逃逸的长度位224,然后再生成224个hacker
然后带入到题目中
最后查看一下就行了
cat flag.php命令的长度是236位,需要伪造236个hacker,cat查看的flag是在源代码中
4.知识点
这题考验的是一个反序列化字符逃逸的增多
这题其实挺绕人的,一开始没关注那个wakeup以为绕过去了,结果还是栽在wakeup上了,看到了使用引用进行一个绕过
