反序列化

php反序列化漏洞又称对象注入，可能会导致远程代码执行(RCE)

个人理解漏洞为执行unserialize函数，调用某一类并执行魔术方法(magic method)，之后可以执行类中函数，产生安全问题。

所以漏洞的前提：

1)unserialize()函数变量可控

2)存在可利用的类，类中有魔术方法

右键查看源码

image.png

构造读出hint.php

image.png

解码base64

class Flag{//flag.php

public $file;

public function __tostring(){

if(isset($this->file)){ //这里$this->file 可以设置为flag.php

echo file_get_contents($this->file); //显示flag.php内容

echo "
";

return ("good");

}

}

}

?>

我们发现查看源码时查看的源码并不完整

所以同样的方法读出index.php

$txt = $_GET["txt"];

$file = $_GET["file"];

$password = $_GET["password"];

if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf")){

echo "hello friend!
";

if(preg_match("/flag/",$file)){ //过滤URL里的flag字眼

echo "不能现在就给你flag哦";

exit();

}else{

include($file);

$password = unserialize($password);

echo $password; //可以在反序列化的过程中返回flag.php的值，并在这里显示

}

}else{

echo "you are not the number of bugku ! ";

}

?>

总结，由于过滤不能通过文件包含的方式读取flag。如果传参file中没有flag字眼就会包含文件hint.php,反序列化password。漏洞出现---我们可以自由的传入password的值，这时我们让password是Flag类(因为给file赋值=hint.php,然后在后面的代码里包含了hint.php所以可以)，并把

flie)的值echo出来。

首先打开题目查看源代码以后：

从上面的代码可以看出以下信息：

通过get方法传递三个值：txt,file,password

读取$user文件的内容，并且文件内容要与‘welcome to the bugkuctf’相同

$file经提示应该为hint.php

因为file_get_contents(

user这个文件的内容写到字符串里去，就是说

uesr这个文件的内容读取出来就是"welcome to the bugkuctf"

所以看完了这篇文章的话，你应该就知道file_get_contents()函数里面放的不止文件名哦，还可以放php的伪协议，如果把这个php://input作为文件名放进去的话，这个函数发现是一个伪协议，那作为一个“文件”，它里面肯定是没有内容的吧，那要怎么把它的内容变成一个字符串呢，它会读取我们post传递的数据作为它的”文件内容“，然后再变成一个字符串。

比如说我们现在有这么一句 file_get_contents("php://input")，然后我们又post传递了一个数据的话，那这个数据就会被php://input读取到，然后file_get_contents又把它变成字符串。

所以我们构造txt=php://input，并且post一个"welcome to the bugkuctf"试试看

网页变了，但是为什么是一个hello friend!呢。。。。我也不知道，不过我们代码中的第一层已经解开了，再往下看吧。有一个include(

file)是动态读取文件名，然后又提示我们hint.php，那岂不是说我们可以直接让file=hint.php就可以得到下一步信息了！

果然还是没有那么简单。。。不然怎么引出我们第二个php伪协议呢？php://filter 这个协议现在我只知道可以用来读取网页base64编码后的源代码。用这句 file=php://filter/read=convert.base64-encode/resource=hint.php

就可以得到hint.php这个网页的base64编码后的源代码了。

image.png

光看这个代码是不是感觉信息不是很够呢，要不我们再看看index.php这个文件的源代码。

image.png

不要问我为什么知道要看index.php里的，因为这个一般是主页文件，有很重要的信息嘛，嘿嘿嘿嘿嘿嘿嘿。

可以看到这么多代码，虽然很烦，但是先从简单的地方来理解。

第一张图提示了我们flag.php，但是我们可以看第二张图，如果我们设定的文件名中包含’flag‘，那么就会跳出“不能现在就给你flag哦”然后exit()；

继续看第二张图，第一个if告诉我们，我们之前的大前提并没有改变，但是在这个前提下还附加了一些条件，如果文件名没有"flag"了，就会把这个文件包含进来,然后

password的值。什么是反序列化呢，那就要先知道序列化啦，在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构(这是百度的)。我们可以把它想成一种编码嘛。

回到第一张图，定义了一个类 FLAG，类里面有一个$file属性，并且有一个魔术方法_tostring()，这个方法的作用就是当调用实例化对象时就会自动执行_tostring()这个方法。简单来说创造一个这个类的对象就会调用这个方法。魔术方法呢，就是一个很神奇的方法(一本正经的胡说八道)，大概就是一种类里面默认的方法，你可以对它进行改造，类似于构造方法。反正大家都要了解的，去百度看看用法和详解吧。

_tostring()方法里面又定义了如果$file这个属性有赋值的话，那么就会输出这个文件的内容(输出成一个字符串)。

所以根据上面的这些条件，我们可以让

file就等于flag.php，这样我们就可以得到flag.php的内容了，不过要记得，前面$password进行了反序列化的操作，所以我们要先把它序列化。写一个php脚本吧！

image.png

我们再来理解一下反序列化的内容的意义，以便以后手写

O:4 参数类型为对象(object),数组(array)为a

"Flag":1: 参数名为Flag，有一个值

s:4:”file”;s:8:”flag.php” s:参数类型为字符串(数字为i)，长度为4，值为file。长度为8的字符串flag.php

合在一起：

object Flag，属性file：flag.php

在本地的服务器跑一下，我们就可以得到序列化的一个FLAG类咯。大家如果还没有搭本地服务器的话，推荐先自己学习一下怎么搭建环境，在本地可以自己试验各种php代码，可以自己了解数据库一些操作等等。下一个APPSERV就可以啦，这是一个合集，也是有中文的，网上都有教程的，很简单。

那最后我们就给$password赋值吧！

image.png

class FLAG{

public $file;

}

$password = new FLAG();

$password->file = "flag.php";

$password = serialize($password);

print_r($password);

?>

image.png