[MRCTF2020]Ezpop

 <?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
} 

一个反序列化题目，从上往下看，__invoke()是要以函数的方式调用对象触发，而__get()里面的$function()就是这样的，$function=$this->p，而__get()是需要从不可访问的属性读取数据，$this->str->source，str下面是没有source这个的，所以不可访问，触发__get(),而$this->str->source有需要触发__toString()，__toString()当一个对象被当作一个字符串被调用，而当做字符串在if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source))这里，这里又需要触发__wakeup()，__wakeup()使用unserialize时触发，到这里整个链就完成了，

这里的preg_match函数不用去管，因为在$this->source这里就会不停跳转，不会进去函数的判断里面，只是利用它到达触发__tostring()的目的，

由此，

 

 

 这个题是对于入门很好的一个题，强烈推荐