HGAME 2018 Web Week2 Random?

题目描述


提示 vim 改代码,vim 会生成 swp 文件以防止出错是恢复,直接 dowm 下 swp 文件恢复源码,这里比较坑的一点是完整的文件名是.random.php.swp
恢复过后 random.php 源码如下

要求传入一串对象的序列化内容,而且这个对象的两个变量会被赋予随机值,要求这两个变量的值相等方能getflag。
起初考虑了一下觉得是反序列化漏洞,但是却不存在魔术方法。
和朋友聊天的得知 & 可以解这道题,于是搜了一下关于 & 的文章,发现 & 真的很有趣。


PHP 手册里面有这么一句话 PHP 的引用是别名,就是两个不同的变量名字指向相同的内容。
我们来看下面这个例子:

1
2
3
4
5
6
<?php
$a = 'abc';
$b = &$a;
$b = 'def';
var_dump($a);
//string(3) "def"

这里修改 $b 为 def ,而 $a 也变成了 def。可以这样理解,$b 是 $a 的引用,$a 和 $b指向同样的地址,$b 修改了那个地址的值,$a 的值自然也随之改变。


网上也有文章说修改 $b 的值之后会分配一个地址给 $b 存储值,然后 $a 再指向这个新地址,其中的原理暂时不去深究。

于是做题思路也就有了,传递第二个变量为第一个变量的引用,这样第二个变量在赋值的时候第一个变量的值也会跟着改变,也就达到了两个变量值相等的目的。flag:hgame{&_Is_wondeRful!@井号}(起初还想找一个变量类型可以强制不被赋予新的值:p)

payload:
emmm=O:4:"emmm":2:{s:6:"public";i:123;s:6:"secret";R:2;}

参考链接:

https://www.cnblogs.com/gengyi/p/6399752.html
http://php.net/manual/en/language.oop5.references.php