[MRCTF2020]Ezpop

最新推荐文章于 2024-08-05 10:20:28 发布
原创 最新推荐文章于 2024-08-05 10:20:28 发布 · 254 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细介绍了PHP中的魔术方法如__get、__set、__wakeup等在反序列化过程中的作用,结合实例展示了如何利用这些方法构造payload来读取flag.php的源码。解题思路中提到,通过创建Modifier和Show类,利用__invoke和__toString方法,最终实现反序列化并获取flag。

[MRCTF2020]Ezpop

就像题目说的,又是一道反序列化的 pop 链的题,直接给了源码
在这里插入图片描述

几个小知识

1、__get() 是访问不存在的成员变量时调用的。
2、__set() 是设置不存在的成员变量时调用的。

举个例子

<?php
class Test{
   
   
    public $c=0;
    public $arr=array();

    public function __set($x,$y){
   
   
        echo $x . "\n";
        echo $y . "\n";
最低0.47元/天 解锁文章
MRCTF2020」- Ezpop
ro4lsc的博客
05-14 4033
MRCTF2020」- Ezpop 做了一个星期的反序列化,不知道为啥,概念从模糊到清晰再到模糊,看来还是基础不扎实导致的,所以就有了这一篇文章的诞生,思路的一个整理以及POP链的构造需要再熟悉熟悉 俗话说的好,有ez的题目都不ez,那么这个题同样也不ez 重新复习一下php里面反序列化序列化的几大魔术方法 __destruct(类执行完毕以后调用,其最主要的作用是拿来做垃圾回收机制。) __construct(类一执行就开始调用,其作用是拿来初始化一些值。) __toString(在对象当做字符串的
BUUCTF [MRCTF2020]Ezpop
weixin_73399382的博客
07-24 1064
b->source->str = $c中$b->source已经成为一个新的Show实例对象,通过该对象访问str,为其赋值为$c(Test类的对象),又因为Test类中访问不到source资源从而触发get方法。$b->source = new Show()因为通过$b这个对象进行访问的,所以需要source赋值一个新的Show对象,用来触发__toString方法。$c->p = $a将Test中的p赋值为一个Modify对象,用来触发invoke方法。得到一串base64。
[MRCTF2020]Ezpop1
kw741951的博客
08-05 1373
/这里urlencode是为了防止 protected 对象对结果造成影响。调用invoke魔术方法需要将对象当做一个函数来使用,这样invoke方法就会自动调用。,然后成功调用invoke魔术方法就可以读出flag。果我们把modifiy对象的var改为。一看base64编码。
buuctf-[MRCTF2020]Ezpop)(小宇特详解)
小宇的web博客
04-04 3967
buuctf-[MRCTF2020]Ezpop(小宇特详解) 1.先查看题目,题目是eazypop,说明这道题是让构造简单的pop链 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%9
BUUCTF [MRCTF2020]Ezpop1反序列化漏洞 CTF-Web
m0_72904009的博客
06-04 609
BUUCTF [MRCTF2020]Ezpop1反序列化漏洞
[mrctf2020]ezpop
最新发布
01-19
### mrctf2020 ezpop CTF Challenge Walkthrough #### Problem Description mrctf2020 ezpop 是一个涉及利用栈溢出漏洞来执行任意代码的CTF挑战。该挑战提供了一个二进制文件,参与者需要找到并利用其中的安全漏洞。 #### Vulnerability Analysis 通过对提供的二进制文件 `ezpop` 进行逆向工程分析,发现程序存在栈缓冲区溢出的风险。具体来说,在处理用户输入时未对长度进行适当验证,这使得攻击者可以通过精心构造的数据覆盖返回地址,从而控制EIP寄存器指向恶意shellcode的位置[^1]。 #### Exploitation Steps 为了成功利用此漏洞,可以采取如下方法: - **确定偏移量**:使用pattern_create工具生成唯一字符串填充缓冲区直到覆盖到保存的EBP和EIP位置;再用pattern_offset定位实际发生覆写的地方。 - **寻找合适的gadget链**:由于目标机器上可能存在不可控因素影响直接注入shellcode的方式,因此考虑采用ROP(Return-Oriented Programming)技术构建payload。通过查找可用的小工具(gadgets),形成能够调用system("/bin/sh")功能的一系列指令序列。 - **绕过NX保护机制**:现代操作系统通常会启用DEP(Data Execution Prevention),即不允许数据页面被执行。此时可借助已泄露的信息泄漏函数指针或其他手段获取libc基址,进而计算得到/bin/sh字符串以及system()函数的确切内存地址。 ```python from pwn import * # 设置远程连接参数 host = 'challenge.ctf.games' port = 31875 # 创建进程对象并与服务端建立TCP连接 conn = remote(host, port) # 发送Payload前先接收初始提示信息 print(conn.recvuntil(b'> ').decode()) # 构造最终载荷 offset = cyclic_find(0x6161616a) # 替换为你自己的偏移值 padding = b'A' * offset ret_address = p32(0xdeadbeef) # 替换成正确的目标地址 rop_chain = ... # 填入ROP chain的具体实现细节 payload = padding + ret_address + rop_chain # 向服务器发送构造好的Payload conn.sendline(payload) # 切换交互模式等待命令执行结果 conn.interactive() ``` 上述Python脚本展示了如何自动化地与远程服务器通信并向其提交特制的有效负载以触发漏洞并获得shell访问权限[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值