[0CTF 2016]piapiapia

很有意思的一道题

访问页面之后是登录界面

尝试弱口令登录一下，无果

查看源代码之后也没有什么提示，扫描敏感目录，发现有源码泄露。

这里我用御剑没有扫出来源码泄露，可能跟扫描线程太快了有关，查看www.zip里面泄露的源代码

class.php里面定义了user和mysql两个类

config.php里面是服务器搭建环境的时候设置的参数，如果读者有自己本地搭建环境的经验就会知道，我们下载下来源码之后，还需要根据自己本地的环境进行相应的配置，比如说我们需要在config.php里面设置自己本地数据库的用户名和密码，这些在下载下来的config.php的源代码里面都是暂时空缺的。

所以题目环境docker下发的时候，一定也设置了自己本地的$flag的值，于是我们的目标就是需要读取服务器端config.php文件，就能够得到flag了。

在register.php里面，可以看到是注册一个用户，输入用户名和密码，接着跳转到index.php界面进行登录

在index.php里面我们输入用户名和密码进行登录，接着跳转到profile.php页面。

在此之前我们需要传递$profile的值

这里对我们输入的phone,email,nickname都进行了过滤，在源码的注释里面我已经进行了说明，很明显最后一个if语句的判断跟前两者有所不同，前两者如果phone为数组的话，匹配失败则为null，取反后就die，而第三个if当nickname为数组的时候，它不会匹配到非数字字母的值，也就为false,长度处使用数组strlen函数也会失效，返回NULL，则绕过了此处的if过滤。

这里添加一个知识点，正则表达式[]内的^表示匹配不存在这类字符的，如图上的第三个if里面的，表示匹配非数字字母的值，在[]外的^表示匹配字符串开头。

所以对于输入的nickname的值我们是可控的。

再去看profile.php

可以看到这里对$profile的值进行了反序列化，接着依次读取，此时对于$photo有一个file_get_contents()文件读取函数，所以这里是我们破题的关键。

值得一提的是，在class.php的mysql类的定义中，过滤函数为

可以看出来将黑名单数组里面的值都换成了hacker

现在我们整理一下思路，update.php中有一个$profile数组变量，这个数组里有$phone, $email, $nickname, $photo几个变量，序列化后profile字段存入数据库，当我们访问profile.php的时候，则会从数据库里面读取profile字段同时反序列化，我们需要控制$photo为config.php，才可以在访问的时候获取到base64编码之后的有flag值的服务器端的config.php

而我们唯一能够控制的变量则是之前说到的nickname，参考了很多师傅的WP之后，写一下这道题的主要知识点:

PHP序列化长度变化导致字符逃逸

首先， PHP反序列化中值的字符读取多少其实是由表示长度的数字控制的，而且只要整个字符串的前一部分能够成功反序列化，这个字符串后面剩下的一部分将会被丢弃

简单举几个例子大家就明白了

得到这个结果很正常

接着我们改变一点点

得到的结果变成了hello woxxx

我们可以看到，原来的字符串hello world内被填充了几个字符串，即xxx”;}，在PHP进行反序列化时，由字符串初始位置向后读取8个字符，即使遇到字符串分解符单双引号也会继续向下读，此处读取到 woxxx ，而后遇到了正常的结束符”;}，达成了正常反序列化的条件，反序列化结束，后面的 rld”;} 几个字符均被丢弃。

我们用另外一个例子来学习一下这个知识点的应用

可以看到bad_str函数会将序列化之后的单引号转换成为字符串no，实际上这里就已经有了长度的变化，因为单引号长度是1，而no字符串长度是2

接着，我们修改用户的签名

这里偷一张别的师傅的图，虽然输入的值不同，但是思想是相同的

在我们这里，则是想将hello world改变掉。

于是构造

输出的结果跟我们想要的是相同的，hello world变成了hhh

参考一下大佬博客里面对此的解释

在反序列化输出之前，我们的字符串是在某过滤函数的过滤替换之后得到的，在经过过滤处理了之后，字符串的某一部分会加长，但是描述其长度的数字没有发生改变（由反序列化时变量的属性决定），这就可能导致PHP在按描述其长度的数字读取相应长度的字符串之后，本该属于该字符串的内容逃逸出了该字符串的管辖范围。轻则反序列化失败，重则自成一家成为一个独立于源字符串的变量，若是这个独立出来的变量末尾是个结束符";}，则可能导致反序列化成功结束，而后面的内容也顺理成章的被丢弃了，此处能够逃逸出的字符串长度由过滤后字符串增加的长度决定，如上图第四个语句，@号内就是我们要逃逸出来的字符串，长度为33，百分号内为我们输入的username变量，要想让@号内的字符串逃逸，我们就需要原来的字符串增加33，这样的话@号内的字符串就会被挤出它原来所在的位置，username的正常部分和增长的部分正好被php解析成一整个变量，@号内的内容就被解析成一个独立的变量，而且因为它的最后有";}，所以使反序列化成功结束。

再回到我在本地的例子上面，我们为了使hhh替换掉hello world，于是这一段是需要逃逸出来的字符串

";i:1;s:3:"hhh";}

长度为17，而单引号替换成no之后长度只是增加1，所以为了增加17个长度，我们需要17个单引号，这样才能够将逃逸字符串挤出原来的位置。

紧接着，17*no+test，一共是38个字符，所以在s处我们填写长度为38

最后的$fakes就为

a:2:{i:0;s:38:"test'''''''''''''''''";i:1;s:3:"hhh";};i:1;s:11:"hello world";}

所以在此处我们最终字符串替换成为了hhh

先闭合了一个变量的正确格式，又写入了一个变量的正确格式，最后闭合了一个反序列化的操作。该挤出的被挤出逃逸了，该丢弃的丢弃了，最后想要达成的目标也实现了。

于是我们再回归到题目里面来，因为我们最后是从数据库里面读取反序列化之后的结果，所以我们先在本地搭建序列化，看看序列化的格式之后编写相应的payload

可以看到，根据泄露的源码序列化之后的结果为

a:4:{s:5:"phone";s:6:"123456";s:5:"email";s:12:"test@126.com";s:8:"nickname";a:1:{i:0;s:4:"hell";}s:5:"photo";s:5:"hello";}

我们能够构造的是nickname，在这里我已经是传递数组给他了

我们需要将photo的值hello改变成config.php

根据之前的基础知识，本地的直接构造为:

a:4:{s:5:"phone";s:6:"123456";s:5:"email";s:12:"test@126.com";s:8:"nickname";a:1:{i:0;s:72:"hell''''''''''''''''''''''''''''''''''";}s:5:"photo";s:10:"config.php";}s:5:"photo";s:5:"hello";}

需要逃逸的字符串为