1. <?php
    3. include("flag.php");
    5. highlight_file(__FILE__);
    7. class FileHandler {
    9.     protected $op;
    10.     protected $filename;
    11.     protected $content;
    13.     function __construct() {
    14.         $op = "1";
    15.         $filename = "/tmp/tmpfile";
    16.         $content = "Hello World!";
    17.         $this->process();
    18.     }
    20.     public function process() {
    21.         if($this->op == "1") {
    22.             $this->write();
    23.         } else if($this->op == "2") {
    24.             $res = $this->read();
    25.             $this->output($res);
    26.         } else {
    27.             $this->output("Bad Hacker!");
    28.         }
    29.     }
    31.     private function write() {
    32.         if(isset($this->filename) && isset($this->content)) {
    33.             if(strlen((string)$this->content) > 100) {
    34.                 $this->output("Too long!");
    35.                 die();
    36.             }
    37.             $res = file_put_contents($this->filename, $this->content);
    38.             if($res) $this->output("Successful!");
    39.             else $this->output("Failed!");
    40.         } else {
    41.             $this->output("Failed!");
    42.         }
    43.     }
    45.     private function read() {
    46.         $res = "";
    47.         if(isset($this->filename)) {
    48.             $res = file_get_contents($this->filename);
    49.         }
    50.         return $res;
    51.     }
    53.     private function output($s) {
    54.         echo "[Result]: <br>";
    55.         echo $s;
    56.     }
    58.     function __destruct() {
    59.         if($this->op === "2")
    60.             $this->op = "1";
    61.         $this->content = "";
    62.         $this->process();
    63.     }
    65. }
    67. function is_valid($s) {
    68.     for($i = 0; $i < strlen($s); $i++)
    69.         if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
    70.             return false;
    71.     return true;
    72. }
    74. if(isset($_GET{'str'})) {
    76.     $str = (string)$_GET['str'];
    77.     if(is_valid($str)) {
    78.         $obj = unserialize($str);
    79.     }
    81. }

    一道反序列化题目,接收一个字符串将其反序列化。
    先看__destruct方法,如果op为2,则将其赋值为1,content设为空,调用process方法。
    process方法中,根据op的值决定调用read方法或write方法。write方法可以向文件中写入内容,但是content无法控制,再看read方法,使用file_get_contents方法来获取内容,而filename是可以控制的,那么只需要想办法让程序调转到read方法即可,也就是需要控制op的值。
    可以注意到,__destruct方法中的判断是强类型判断,而上面的process中是弱类型判断,那么只需要传入数字2即可绕过__destruct中的判断。
    payload:

    1. O:11:"FileHandler":3:{s:5:"*op";i:2;s:11:"*filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:10:"*content";N;}

    但是由于类型是protected的原因,每个变量前面会有%00*%00的标志,绕过方法有两个:

    1. 将protected类型改为public,php7.1+版本对属性类型不敏感
    2. 将s改为大写,原理下面附上图。

    [网鼎杯 2020 青龙组]AreUSerialz - 图1
    最后读取到flag.php的内容,解码得到flag。