BUUCTF-web [极客大挑战 2019]PHP1 之反序列化漏洞

PHP反序列化漏洞

一，什么是序列与反序列

序列就是把数据转成可逆的数据结构，目的是方便数据的储存和传输，反序列就是将数据逆转成原来的状态，序列就是拆数据，使得传输或储存更容易的过程，反序列就是重新拼凑还原数据的过程。

二，PHP中的反序列方法

PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和反序列化。

序列化：serialize()将一个对象转换成一个字符串。反序列化：unserialize()将字符串还原为一个对象。

PHP（反）序列化有关的魔法函数

① void __wakeup ( void )

unserialize( )会检查是否存在一个_wakeup( ) 方法。如果存在，则会先调用_wakeup 方法，预先准备对象需要的资源。

② void __construct ([ mixed $args [, $... ]])

具有构造函数的类会在每次创建新对象时先调用此方法。

③ void __destruct ( void )

析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。

④ public string __toString ( void )

__toString( ) 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj;应该显示些什么。

此方法必须返回一个字符串，否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误。

⑤......详情：【技术分享】PHP反序列化漏洞 - 安全客，安全资讯平台

__construct()， __destruct()， __call()， __callStatic()， __get()， __set()， __isset()， __unset()，__sleep()， __wakeup()， __toString()， __invoke()， __set_state()， __clone() 和 __debugInfo() 等方法在 PHP 中被称为"魔术方法"（Magic methods）

[极客大挑战 2019]PHP1

获取备份文件可以在url后面直接输入www.zip

把三个php都打开，看到class.php有php的魔术方法

password要等于100,username要等于admin才能输出flag。首先要绕过wakeup。

绕过wakeup方法：当成员属性数目大于实际数目时可绕过wakeup方法。

payload:

?select=O:4:"Name":3{s:14:"%00Name%00username";s:5:"admin";

s:14:"%00Name%00password";i:100;}

"Name":3 ：让Name的值等于3

s:14 表示14个字符的意思。

因为username和password是私有变量，变量中的类名前后会有空白符，所以要加%00补齐私有变量两边的空格。

flag{215bf203-7a6e-4db7-baac-4b7c2d2c0223}