SharkCTF2021 bbpop题记

一道挺好的web。

做完这一题，感觉php序列化（甚至魔术方法）之类的有点开始玩明白了。

题面很长：

　　预备知识：

　　　PHP类的方法中，有一部分以下划线开头的“魔术方法”。不同于普通方法的 被调用才会执行，魔术方法在满足某些条件时会自动执行。

　　　__construct()在使用new声明对象时会自动执行；

　　　__destruct()在对象被释放（unset或在程序结束时自动释放）时自动执行；

　　　__wakeup()在对象被成功unserialize时自动执行；

　　　__sleep()在对象被serialize时自动执行；

　　　__toString()在对象被当作字符串使用时自动执行；

　　　　这里特别解释一下，“对象被当作字符串使用”是指对象被作为一个函数或方法的参数，而该参数本来限定为字符串类型。

　　　　emmmm因为PHP弱类型的原因，我对这个理解也不是特别清楚。直接举例：

　　　　　　echo new 类名();  会触发__toString(),因为echo可以输出字符串但不能直接输出对象。

　　　　　　addslashes($xxx); 当$xxx是对象时会触发__toString()，因为addslashes本应操作字符串的。

　　　__call()在调用不存在的方法时被调用。本题里，就可以看到经典的__call()触发实例。

　　　　addslashes在字符串中的单引号、双引号、反斜杠和NULL之前添加反斜杠。

　　　　　默认地，PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。

分析本题，我们的最终目标，是进入Admin::login且相关变量符合条件；

要这样，我们必须借助Admin::__toString()

如何进入呢？Admin自己方法中的addslashes肯定不行；

　　我们借助Guest中的addslashes，控制它参数其中的一个为Admin类。

如何进入Guest::__call()呢？得让一个Guest类的对象执行一个Guest类没有的方法。

程序中的__construct我们是控制不了的；除此之外调用方法的地方就只有：

　　User::login中的$this->admin->ban();Guest类没有ban方法。

　　User有可用的__wakeup(); 搞定了。

最终payload：