一.根据题目猜测和反序列化漏洞有关
1.思路:
进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值,
先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。
所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。
2.步骤:
通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化
编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,然后通过构造方法将其赋值给$file,
然后我们输出序列化的结果,这里为了绕过正则可以采用将 :4: 替换为 :+4:,
在 PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。
所以我再将它的 :1: 替换为一个大点的值 比如 :2: ,
因为在接受到var值后会对其base64解码,所以这里我们再将其base64编码,然后输出即得到我们要输入的参数值。
TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== ,得到flag。
**这里我们要注意:这里的file变量为私有变量(protected变量应该也会),所以序列化之后的字符串开头结尾各有一个空白字符(即%00),
字符串长度也比实际长度大2,如果将序列化结果复制到在线的base64网站进行编码可能就会丢掉空白字符,从而得到错误的编码值
如下图,通过strlen求到序列化的长度为48,但实际我数了一下只有46。
