学习pop链

最新推荐文章于 2024-07-15 23:46:30 发布
最新推荐文章于 2024-07-15 23:46:30 发布
阅读量951 收藏 17
点赞数 9
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80366980/article/details/136023979
版权

文章目录

前言

记录学习反序列化进阶知识:pop链的学习
之前在isctf也遇到过pop链的题,有关fate的,也是无从下手,今天就来学习一下相关的知识。

仅供个人学习,如有冒犯请尽快联系

一、前置知识

反序列化基本知识

常见的魔术方法
在这里插入图片描述

->的使用
对象运算符 ( ->) 可用于为变量赋值和调用方法。

<?php
class Demo_Class {
	public $demo;
    public $demo1 = "This is delftstack";
 
    public function Demo_Method() {
    echo "This is delftstack from demo method.";
    }
}
$demoinstance = new Demo_Class();
 
$demoinstance->demo="delftstack";    // 把delftstack赋值给demo这个变量
echo $demoinstance->demo;   //输出demo的值
echo "<br>";
echo $demoinstance->demo1;   //输出demo1的值
echo "<br>";
$demoinstance->Demo_Method(); // 调用Demo_Method这个函数方法
?>

输出

delftstack
This is delftstack
This is delftstack from demo method.

二、做题思路

这一类的题目没有固定的、公式化的解法,一开始只能了解大致方向,更细致的只能通过不断做题累积经验

<?php
class Rd
{
    public $ending;
    public $cl;

    public $poc;

    public function __destruct()
    {
        echo "All matters have concluded" . "</br>";
    }

    public function __call($name, $arg)
    {
        foreach ($arg as $key => $value) {

            if ($arg[0]['POC'] == "0.o") {
                $this->cl->var1 = "getttt";
            }
        }
    }
}

class Poc
{
    public $payload;

    public $fun;

    public function __set($name, $value)
    {
        $this->payload = $name;
        $this->fun = $value;
    }

    function getflag($paylaod)
    {
        echo "Have you genuinely accomplished what you set out to do?" . "</br>";
        file_get_contents($paylaod);
    }
}

class Er
{
    public $symbol;
    public $Flag = 'aHR0cDovLw==';

    public function __construct()
    {
        $this->symbol = True;
    }

    public function __set($name, $value)
    {
        if (preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/', base64_decode($this->Flag))) {
            $value($this->Flag);
        } else {
            echo "NoNoNo,please you can look hint.php" . "</br>";
        }
    }


}

class Ha
{
    public $start;
    public $start1;
    public $start2 = 'o.0';

    public function __construct()
    {
        echo $this->start1 . "__construct" . "</br>";
    }

    public function __destruct()
    {
        if ($this->start2 === "o.0") {
            $this->start1->Love($this->start);
            echo "You are Good!" . "</br>";
        }
    }
}

function getttt($url)
{
    echo ("<script>alert('you got it!!!');</script>");
}


if (isset($_POST['pop'])) {
    $a = unserialize($_POST['pop']);
} else {
    die("You are Silly goose!");
}

1.找切入点

pop链就是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者的目的

所以找php函数的可控点,也就是魔术方法,以及链的出口和入口,这里有__destruct(),__call,__set,__construct()以及一个unserialize()

__destruct()用于对象销毁时输出"All matters have concluded"

这里的__call()用于在调用不存在的方法时执行一些操作,这里根据传入的参数判断是否满足条件,如果满足则修改$cl对象的属性

__set()用于在给不存在的属性赋值时执行一些操作,这里将传入的变量name赋值给变量payload,将变量value赋值给变量fun

getflag()方法输出"Have you genuinely accomplished what you set out to do?",并调用file_get_contents()函数

__construct()允许在实例化一个类之前先执行构造方法,这里用于拼接start1变量和__construct()字符以及设定symbol的值为True

其中var1变量以及Love函数不存在,可以作为切入点

所以我们的思路是:Ha#__destruct()=>Rd#__call()=>Er#__set()

其中Poc的__set()没有用,因为只是赋了个值,没有其他操作;Rd的__destruct()没有用,只是输出一条语句

2.构造pop链

在这里插入图片描述

start2的值已经被赋值成了o.0,是自动进if语句的,所以不用管

先new一个Ha,让其中的__destruct()在销毁时可以运行
注意这里的start1要赋值,不然链就断了,把对象Rd赋值给start1,以此产生联系
这里的var1是不存在的变量,会触发__set()函数

在这里插入图片描述

在Rd中有判断语句,所以我们需要进行赋值

在这里插入图片描述

接着new一个Er,前文提到触发了__set()函数

foreach是遍历给定的数组语句

foreach的用法和实例

在这里插入图片描述

再把Er赋值给Rd中的cl,这时Er中的正则表达式就会字符检测是否为网址开头,检测通过,getttt函数中也是url,这时就会跳you got it

我们把构建好的pop链序列化,搭建环境验证一下

在这里插入图片描述

在post栏中输入序列化的pop链

在这里插入图片描述

构建成功

代码:

在这里插入图片描述

序列化:

O:2:“Ha”:3:{s:5:“start”;a:1:{s:3:“POC”;s:3:“0.o”;}s:6:“start1”;O:2:“Rd”:3:{s:6:“ending”;N;s:2:“cl”;O:2:“Er”:2:{s:6:“symbol”;b:1;s:4:“Flag”;s:12:“aHR0cDovLw==”;}s:3:“poc”;N;}s:6:“start2”;s:3:“o.0”;}

荆棘鸟lm
关注
  • 9
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
POP学习
blue_fantasy的博客
01-09 684
Text. __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //当程序调用到当前类中未声明或没权限调用的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //当程序调用一个未定义或不可见的成员变量时触发,请求类里不存在的属性则自动触发 __set() //当程序试图写入一个不存在或不可见的成员变量时触发 __isset()
javascript学习网址备忘
10-30
5. **数组**:学习数组的方法,如push、pop、shift、unshift、slice、concat、map、filter、reduce等。 6. **DOM操作**:通过JavaScript可以动态修改HTML元素,包括选择元素(getElementById、querySelectorAll等)...
POP实例解析学习
bin789456的博客
11-28 7982
写在前面 POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 基本魔法方法 我用的代码如下: <?php class A{ public $a="hi"; public $b="no"; function __construct() {
php反序列化学习(中)--pop的构造
qq_75120258的博客
04-24 845
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
反序列化学习——pop的构造
m0_73756016的博客
03-10 569
在反序列化中,我们能控制的数据就是对象中的属性值(成员变量所以在PHP反序列化中有一种漏洞利用方法叫"面向属性编程"POP( Property Oriented Programming).Poc是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。然后让benben = fast这个类将其反序列化的时候顺理成章调用wakeup。所以要触发wakeup() 必须要反序列化fast这个类。魔术方法触发前提:魔术方法所在类(或对象)被调用。这里如果benben的值为反序列化类sec的结果。
pop3.rar_pop3_pop3 邮件
09-14
对于初学者来说,这是一个很好的学习机会,可以让他们了解如何通过编程与POP3服务器交互,如何处理邮件的接收和管理。 “www.pudn.com.txt”可能是源代码或文档的来源信息,表明这个资料可能来自pudn.com这样的在线...
MSN-pop-window.rar_pop
09-14
总的来说,"MSN-pop-window.rar_pop"中的源代码提供了学习和实践JavaScript弹窗机制的一个实例,对于想要提升前端开发技能的IT从业者来说,这是一个很好的学习资源。通过对源码的深入研究,开发者可以掌握创建自定义...
RightPop
05-28
通过使用RightPop,用户可以个性化定制自己的工作环境,提升日常办公、学习的效率。无论是在处理文件、启动应用程序还是执行特定任务时,RightPop都能提供便捷的操作方式,减少鼠标移动距离,降低工作负担,提高生产...
一个完整的SMTP/POP3邮件发送和接收的VC++的软件代码
02-18
SMTP(Simple Mail Transfer ...如果你是开发者,这将是一个很好的学习资源,了解如何在C++中实现SMTP和POP3协议。如果你是最终用户,你可能需要找到一个使用这个DLL的示例项目来理解如何在你的应用中集成邮件功能。
Lumos学习王佩丰Excel第四讲:排序与选择
Sunshine_XX的博客
07-10 408
自定义排序演示:工资条拆分的演示:如果遇到很长的表,标题只存在于顶端,打印出来观感不好,可以这样做:有些版本的excel复制筛选数据容易把背后隐藏的所有数据都复制上去,这时可选中定位条件的“可见单元格”选项,复制粘贴即可。并排表示且,错排表示或。ctrl+shift+↓+→全选,演示说明:回头学原理,先记住一句话,要想筛选对,条件表头不要对。
ROS基础学习-ROS运行管理
周陽讀書
07-11 764
ROS运行管理。
探索Perl语言:入门学习与实战指南
最新发布
洛秋的博客
07-15 632
Perl(Practical Extraction and Report Language)由Larry Wall于1987年创建,旨在帮助系统管理员简化日常任务。高效灵活:Perl的语法灵活多样,支持多种编程风格(过程式、面向对象等)。强大的文本处理能力:内置强大的正则表达式支持,是处理文本数据的利器。丰富的模块库:通过CPAN(Comprehensive Perl Archive Network)可以方便地获取和使用各类模块。Perl广泛应用于系统管理、Web开发、网络编程、数据库操作等领域。
NumPy库学习之np.random.rand函数
qq_46396470的博客
07-15 152
是 NumPy 库中的一个函数,用于生成随机数。这些随机数是从均匀分布 [0, 1) 中抽取的,即每个数都在0到1之间,但不包括1。
python 语法学习 day 7
2303_79973545的博客
07-15 225
-----元组之间可以进行比较,比较的规则是逐个比较元组中的元素。首先比较第一个元素,如果相等,则比较第二个元素,以此类推。如果所有元素都相等,那么元组相等;否则,比较的结果取决于第一个不相等元素的比较结果。题意:统计单词的种类以及数量(忽略大小写),最终以降序输出(出现次数相同的单词根据单词的大小升序输出)-------掌握如何将一个英语句子中的单词拆出来,并且去掉标点符号。EOF,输入后产生异常-->>捕获异常,结束输入。第一次提交的答案是:先把所有输入值放在列表里面。------字典排序。
安卓学习中遇到的问题【bug】
小心星的博客
07-15 788
安卓学习中遇到的问题【bug】
Qt/QML学习-动画元素
QT、QML
07-12 1254
Qt/QML学习-动画元素
昇思MindSpore 25天学习打卡营|day20
weixin_42036358的博客
07-13 716
生成式对抗网络(Generative Adversarial Networks,GAN)是一种生成式机器学习模型,是近年来复杂分布上无监督学习最具前景的方法之一。最初,GAN由Ian J. Goodfellow于2014年发明,并在论文生成器的任务是生成看起来像训练图像的“假”图像;判别器需要判断从生成器输出的图像是真实的训练图像还是虚假的图像。GAN通过设计生成模型和判别模型这两个模块,使其互相博弈学习产生了相当好的输出。GAN模型的核心在于提出了通过对抗过程来估计生成模型这一全新框架。
Python 学习中什么是异常处理,如何使用 try、except、finally ?
Itmastergo的博客
07-12 753
异常是程序执行过程中发生的非正常事件,这些事件会中断正常的程序指令流。当程序遇到错误时,Python 会抛出一个异常对象,异常对象包含了错误的类型和相关的信息。
TCPIP详解学习笔记.doc
07-19
《TCP/IP详解学习笔记》是一份详细介绍数据链路层、IP协议、ARP协议、RARP协议、ICMP协议、ping和Traceroute、UDP、DNS等内容的学习笔记。它通过讨论TCP/IP协议族的重要性和作用,向读者解释了为什么在世界各地的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值