[MRCTF2020]Ezpop

首先,看到题目就已经知道,应该是一个反序列化的题,打开环境,发现有三个类:

这里先进行一个简单的分析,Modifier类是进行文件包含的,根据提示我们知道flag在flag.php中,因此我们肯定是要用到这里的文件包含的,然后是show类,这里有三种魔术方法,触发条件也已经注释上了,然后是Test类:

这里我们想要做的是读取flag.php,然后就要触发invoke魔术方法,而想要触发invoke魔术方法就就是类被当作是函数调用,也就是要触发Test类中的__get魔术方法,而想要触发这个魔术方法,就要访问类中的私有属性或者是不存在的属性,也就是触发Show类中的toString魔术方法,而想要触发这个魔术方法,就是对象也就是类,被当成字符串使用。也就是Show类中的wakeup魔术方法,而想要触发该魔术方法就要使用反序列化函数,而恰好,我们通过get传参执行的就是反序列化函数。这样就构造了一个完整的pop链。这时我们从终点反向推,构造的序列化代码如下:

解释一下,我们传参pop会触发__wakeup魔术方法,然后检测到a对象的source属性是b对象,这样就会触发__toString魔术方法,从而执行读取b对象的str属性的source属性,而我们的b对象的str属性值为Test对象,而这个对象中不存在source属性,就会触发Test对象中的__get魔术方法,而我们的Test对象中的p属性的值是Modifier对象,这样在执行的时候,把这个对象当成函数执行,这样就触发了,Modifier对象中的__invoke魔术方法,从而执行我们的包含flag.php操作。

在执行之后,我们得到的是:

这时我们就要想办法读取该页面的源代码,我们知道这里的过滤有:/gopher|http|file|ftp|https|dict|

因此这里构造:

这样来读取flag.php的源码:

然后base64解码即可:

相关推荐
2601_963771374 分钟前
10 Best PHP Media CMS and Scripts for Web Creators in 2026
开发语言·前端·php
着迷不白4 小时前
Linux系统故障修复、日志管理与安全加固实战指南
开发语言·php
Bobolink_15 小时前
跨境业务网络环境评估,“干净、一致、独享”三个关键指标
开发语言·网络·php·跨境网络·网络环境
2401_8949155319 小时前
Geo搜索优化排名源码部署搭建全流程详解
android·开发语言·flask·php·精选
2601_9637713720 小时前
Hardening Enterprise WordPress Sites Against REST API Leaks and Bad Headers
前端·windows·word·php
weixin_BYSJ19871 天前
springboot美食食谱小程序---附源码24044
java·spring boot·python·spring cloud·django·tomcat·php
木木子222 天前
[特殊字符] 音乐播放器——状态驱动的多媒体控制
android·开发语言·华为·php·harmonyos
酷酷的身影2 天前
Drivers/LedManager.cs
开发语言·php
可靠的仙人掌2 天前
SAC(Soft Actor-Critic)算法底座
开发语言·算法·php
qq_422152572 天前
PDF内容复用的几种实用方法:转PPT、转图片、转长图
pdf·php·powerpoint