记一次反序列化(运用preg_replace去吞掉字符串构造payload)——UNCTF2021-easy_serialize

查看代码，可以知道当一个post的变量action=1时可以看到function.php里的内容，我们post一下看下

 

 

 我们从index.php开始进行分析

 

 

 这里是一个过滤器，将$file变量里出现的flag，php，fl1g给替换成空白

 

 

 

这里是通过get方法得到一个变量a和b的值

然后给$u变量new一个UNCTF的对象

变量$s为变量$u序列化后的结果

 

这里是一个常见的md5绕过

可以参考：https://blog.csdn.net/iczfy585/article/details/106081299

 

 

所以给$a赋值QNKCDZO，给$b赋值240610708,发现网页不一样了，说明绕过成功了

 

 说明这个地方是把变量$u序列化后的结果$s进行过滤，之后在进行反序列化得到一个对象

分析完index.php后，我们再对function.php进行分析

 

 有一个me7eorite类，里面有两个属性safe和class，还有一个构造函数，给safe赋了一个初值，给class属性new了一个UNCTF的对象，

这里还有一个__toString()魔术方法，调用class属性的getShell()函数

最后就是getShell()函数，读取safe属性内容指代的文件

 

 最后是UNCTF类，存在三个变量$pass,$email,$name，构造函数，一个getShell()函数（没啥用）,和一个析构函数

这里的析构函数是拼接$name变量和一个字符串，并将其echo

这里我们就可以联想到跟上面那个类的__toString()魔术方法进行联动，如果我们一个UNCTF的对象$name里的内容是一个me7eorite对象，然后这个对象里的$class里的内容又是一个me7eorite对象，而在这个对象中的$safe变量的值是flag，是不是就可以读取flag文件中的内容了呢

因为我们不能通过网页中post方法给变量赋值一个对象，因为我们输入的内容会被当作字符串，所以我们需要去利用之前的preg_replace去吞掉一些字符，然后构造出类似于

 

 这样的效果

 所以构造payload

email=";s:5:"email";s:1:"2";s:4:"name";O:9:"me7eorite":2:{s:4:"safe";s:11:"/etc/passwd";s:5:"class";O:9:"me7eorite":2:{s:4:"safe";s:5:"/flflagag";s:5:"class";i:1;}}}
&name=3
&pass=phpphpphpphpphpphpphp

 

 

 

 

可以把标蓝的字符全部吞掉，后面的“；把前面的”闭合了

然后在后面将被吞掉的$emal变量补充完整，还有$name里，构造一个me7eorite对象，然后这个对象的$class又是一个me7eorite对象，这个对象里的$safe的值为/flflagag，因为中间的flag也会因为过滤而被吞掉，最后用}"闭合前面，忽略后面的值

 

 

 于是得到flag