[UUCTF 2022 新生赛]ezpop

1.打开先看代码

<?php //flag in flag.php error_reporting(0); class UUCTF{ public $name; public $key; public $basedata; public $ob; function __construct($str){ $this->name=$str; } function __wakeup(){ if($this->key==="UUCTF"){ $this->ob=unserialize(base64_decode($this->basedata)); } else{ die("oh!you should learn PHP unserialize String escape!"); } } } class output{ public $a; function __toString(){ $this->a->rce(); } } class nothing{ public $a; public $b; public $t; function __wakeup(){ $this->a=""; } function __destruct(){ $this->b=$this->t; die($this->a); } } class youwant{ public $cmd; function rce(){ eval($this->cmd); } } $pdata=$_POST["data"]; if(isset($pdata)) { $data=serialize(new UUCTF($pdata)); $data_replace=str_replace("hacker","loveuu!",$data); unserialize($data_replace); }else{ highlight_file(__FILE__); } ?>

首先提示了flag在flag.php中

一个四个类、UUCTF、output、nothing、youwant

UUCTF类：

里面定义了四个公共属性，name、key、basedata、ob

construct方法，里面接收一个参数$str，触发了会让$str赋值给本类的name属性

wakeup方法，触发了会有一个if语句，判断本类的key属性的值是否强等于UUCTF，如果等于就将本类的basedata属性进行一个base64解码，然后再进行反序列化，最后赋值给本类的ob属性，如果key不为UUCTF就die退出

output类：

一个公共属性a

toString方法，触发了会让$this->a对象调用它的rce方法

nothing类：

三个公共属性，a、b、t

wakeup方法，触发了会让本类的a属性赋值一个空

destruct方法，触发了会让本类的t属性赋值给本类的b属性，然后die退出并输出本类的a属性的值

youwant类：

一个公共属性cmd

rce方法，触发了会eval执行本类的cmd属性的内容

然后下面POST传参一个data，然后赋值给$pdata

if检查有没有$pdata，有的话，先让它当成实例UUCTF类的参数，再进行反序列化，随后赋值给$data，随后进行一个检查，检查$data中是否有hacker，如果有的话就给替换成loveuu!，随后将值赋值给$data_replace，最后将$data_replace进行一个反序列化的操作

2.思路构造

首先看到str_replace替换，就想到字符串逃逸，然后他的替换由6位变成了7位，那么就是字符串逃逸增多，先看一下题目再想着逃逸的点在哪里

这题的链子很容易，就是

nothing :: destruct ---> output :: toString ---> youwant :: rce

但是我们看最后的执行参数，是要再经过UUCTF类实例化一遍完并且再经过一遍序列化的

这时候看UUCTF类，它最先触发的是wakeup方法，首先要满足他的if语句，让key为UUCTF，那么指定是这里逃逸无疑了，整段代码只有这一个需要满足的，接下来看里面的语句，首先是将本类的basedata属性进行一个base64解码，然后再进行反序列化的操作，既然这里的参数是basedata属性，那么链子的值是赋值给basedata的，然后这里name属性在key属性的前面，那么就是通过name的值，来逃逸key的UUCTF和我们的序列化的值了

那么接下来链子就变成了

UUCTF :: wakeup ---> nothing :: wakeup (因为反序列化会让他先触发，他是捣乱的，使用引用的方式绕过) nothing :: destruct ---> output :: toString ---> youwant :: rce

上面这是要正常的链子，然后接下来将base64编码后的序列化后的链子值带入到UUCTF中，为了满足参数

然后先正常序列化一下UUCTF类的属性看看是怎么情况

O:5:"UUCTF":4:{s:4:"name";s:1:"1";s:3:"key";s:5:"UUCTF";s:8:"basedata";N;s:2:"ob";N;}
其中紫色的字段是传参上去代码实例化UUCTF并序列化后自带的，红色部分是要逃逸的字段，来满足key为UUCTF，黄色的字段，是为了满足后面红色要逃逸字段的替换字符hacker（这里的name赋值为1是为了方便观看要逃逸的字段）

接下来将刚才序列化的链子传递上去，看看要逃逸的字符长度

O:5:"UUCTF":4:{s:4:"name";s:1:"1";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:168:"Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjE3OiJzeXN0ZW0oJ3dob2FtaScpOyI7fX19";s:2:"ob";N;}

红色字体为要逃逸的部分，计算一下长度为228位，那么伪造228个hacker在前面

传参上去看看情况，成功执行whoami，接下来打开题目看一下

3.开始构造

然后将base64编码后的序列化的值，带入到UUCTF类中

要逃逸的长度位224，然后再生成224个hacker

然后带入到题目中

最后查看一下就行了

cat flag.php命令的长度是236位，需要伪造236个hacker，cat查看的flag是在源代码中

4.知识点

这题考验的是一个反序列化字符逃逸的增多

这题其实挺绕人的，一开始没关注那个wakeup以为绕过去了，结果还是栽在wakeup上了，看到了使用引用进行一个绕过