php_bugs学习 03 多重加密
作者:互联网
php_bugs学习 03 多重加密
来源: https://github.com/bowu678/php_bugs
参考:https://www.cnblogs.com/-mo-/p/11652926.html
<?php
include 'common.php';
$requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
//把一个或多个数组合并为一个数组
class db
{
public $where;
function __wakeup()
{
if(!empty($this->where))
{
$this->select($this->where);
}
}
function select($where)
{
$sql = mysql_query('select * from user where '.$where);
//函数执行一条 MySQL 查询。
return @mysql_fetch_array($sql);
//从结果集中取得一行作为关联数组,或数字数组,或二者兼有返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false
}
}
if(isset($requset['token']))
//测试变量是否已经配置。若变量已存在则返回 true 值。其它情形返回 false 值。
{
$login = unserialize(gzuncompress(base64_decode($requset['token'])));
//gzuncompress:进行字符串压缩
//unserialize: 将已序列化的字符串还原回 PHP 的值
$db = new db();
$row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
//mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
if($login['user'] === 'ichunqiu')
{
echo $flag;
}else if($row['pass'] !== $login['pass']){
echo 'unserialize injection!!';
}else{
echo "(╯‵□′)╯︵┴─┴ ";
}
}else{
header('Location: index.php?error=1');
}
?>
这道题本地没有复现成功,自己搞的数据库有点问题,好像是一道百度杯的题
所以直接代码审计
代码审计
先看__wakeup()
__wakeup()魔法方法在unserialize时自动激活
如果where的值空,则select(where)
再看select函数
查询where的指定关联数组
这块应该就是显示源码的功能
检测token是否赋值
然后将token的值 => base64解密 => 压缩数据 => 反序列化 => 赋值给login
$row将user的特殊字符值转义
判断login的user值是否等于ichunqiu是的话回显flag
解题
将"token的值 => base64解密 => 压缩数据 => 反序列化 => 赋值给login => 判断"反着着来一遍就好了
记得先序列化
源码中拿到token时是先base64_decode最后才unserialize的
payload:
eJxLtDK0qs60MrBOAuJaAB5uBBQ=
标签:03,bugs,unserialize,token,user,login,php,where,select 来源: https://www.cnblogs.com/murkuo/p/14970590.html