[网鼎杯 2020 青龙组]AreUSerialz1

  • 开发
  • 55
<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

反序列化+文件包含,目标是通过传str拿到flag.php的源码

这题destruct时触发process()

process()有两个情况,op=1时触发write(),op=2触发read(),这里我们要触发read才能读取源码。

注意destruct里面如果op==="2" op就会变回1所以这里我们反序列化时要让op等于数值2就不会触发这个if语句。

filename这里用伪协议读取flag.php源码

还有一点,php7.1+反序列化对类属性不敏感。PHP反序列化 | Y4tacker's Blog (gitee.io)

因为给的代码用的属性是protected,反序列化出来会多两个null符号,is_valid()限制了不能使用'\',我用%00尝试也没反应。考虑到以上几点,我们将protected改为public再序列化

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

base64解码得到flag 

阅读全部

相关推荐

  5. 【web | CTF】BUUCTF [ 2020 ]AreUSerialz

    2024-01-25 22:52:02       51 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-01-25 22:52:02       98 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-01-25 22:52:02       106 阅读

  9. 在Django里面运行非项目文件

    2024-01-25 22:52:02       87 阅读

  19. Python语言-面向对象

    2024-01-25 22:52:02       96 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-01-25 22:52:02       91 阅读

热门阅读

  1. 【AI】深度学习在编码中的应用(6)

    2024-01-25 22:52:02       54 阅读

  4. 标识符的起名规则

    2024-01-25 22:52:02       48 阅读

  5. LeetCode 0410.分割数组的最大值:二分

    2024-01-25 22:52:02       55 阅读

  6. android 自定义软键盘的显示和隐藏

    2024-01-25 22:52:02       65 阅读

  7. Android解析sdcard下的json文件

    2024-01-25 22:52:02       49 阅读

  8. android 相机预览数据两个 GL_TEXTURE_EXTERNAL_OESS和GL_TEXTURE_2D类型的数据应用场景,以及同时渲染的原因和关系

    2024-01-25 22:52:02       53 阅读

  10. 【ARM 嵌入式 编译系列 3.7 -- newlib 库文件与存根函数 stubs 详细介绍】

    2024-01-25 22:52:02       57 阅读

  12. 微服务定时任务

    2024-01-25 22:52:02       56 阅读

  13. 头歌C语言递归函数、嵌套函数

    2024-01-25 22:52:02       58 阅读

  22. 基于智能化安全编排的网络安全事件响应架构

    2024-01-25 22:52:02       59 阅读

  23. 源码篇--Redisson 分布式锁lock的实现

    2024-01-25 22:52:02       48 阅读

  27. Spring复习--2024.1/26更新

    2024-01-25 22:52:02       62 阅读

  28. 毕业设计——基于spark的电影推荐系统,包括基于ALS、LFM的离线推荐、实时推荐

    2024-01-25 22:52:02       58 阅读

  29. 在vim中对光标选中单词进行搜索

    2024-01-25 22:52:02       49 阅读