0x01. 进入环境
显示一段源代码:
0x02. 问题分析
0x02_1. 代码审计
首先,定义一个“xctf”类,这个类有两个成员属性,分别是 flag 和__wakeup。接下来是 __wakeup方法的实现,再就是最后一行变量 code 没有写完,估计就是想让我们传参进去完成它了。
这里的 __wakeup 函数是一个所谓的“魔术方法”,它在反序列化时会先于其他函数被调用,执行它的语句。
这就意味着,如果我们直接构造一个字符串,那么这个 __wakeup_ 会先一步执行,并直接 exit,这可不是我们想要的结果。
也就是说,我们构造的code的参数传入后,先被__wakeup方法首先调用。因此我们想办法绕过该函数即可。
0x02_2. 进行尝试
阅相关大神WP后才知道,一个漏洞(CVE-2016-7124)可以通过 使序列化字符串中表示对象属性个数的值大于真实的属性个数,以此跳过__wakeup 的执行。
首先,序列化字符串的标准格式:O:<类名的长度>:"<类名>":<成员属性的个数>:{S:<成员属性名的长度>:"<成员属性名>";......} 这道题的话,如果要对 xctf 类进行正确的序列化,那么它的字符串应该是:O:4:"xctf":1:{S:4:"flag";S:3:"111";}
在线测试地址:https://www.dooccn.com/php/,使用如下代码即可验证。
0x02_3. 跳过__wakeup()函数
将序列化的字符串进行修改,修改序列化字符串中的属性个数,并完成字符串的拼接,以get方法传出,地址拼接如下:
http://61.147.171.105:56068/?code=O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}
得到最终答案,答案为:cyberpeace{d0e766c698b67400e771051e6b8301aa}
参考:
