Ezpop?pop序列化鏈反序列化實例分析

這篇文章主要介紹了Ezpop pop序列化鏈反序列化實例分析的相關知識，內容詳細易懂，操作簡單快捷，具有一定借鑒價值，相信大家閱讀完這篇Ezpop pop序列化鏈反序列化實例分析文章都會有所收獲，下面我們一起來看看吧。

<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}
class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}
class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

一大段代碼，隨意瞟一眼看見wakeup等魔法方法，我就知道要利用反序列化了，還有include文件包含漏洞，但這里考的不是如何繞過反序列化，而是我不知道的序列化POP鏈。

根據學習，以下是我的心得：

__invoke:當嘗試將該函數所存在的對象用函數方法調用時觸發

__construct：當一個對象被創建時調用,類似于構造函數

__toString:當對象被當作字符串使用時調用

__wakeup:當調用unserialize反序列化的時候提前調用

__get:當調用不可訪問的屬性時調用該函數（1、私有屬性，2、沒有初始化的屬性）

現在我們要利用include讀取flag.txt，就肯定要調用invoke，就必須把這三個類聯系在一起，因為Show類里面有wakeup函數，include函數在modifier里面，肯定是最后一個看，因此我們要從Show類里面看起(先定義一下$a=new Show())：

public function __toString(){
        return $this->str->source;
    }
public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }

wakeup函數里面是一個正則表達式，目前對我們沒有多大用處，toString這個函數如果被調用了(目前不知道怎么調用這個函數就先跳過)，會返回$this->str->source;這時我們想到，如果$this->str代表的是一個Test類呢

public function __get($key){
        $function = $this->p;
        return $function();
    }

因為Test類中沒有source這個屬性，因此會調用get方法，就這樣可以把Show和Test連接在一起，我們可以構造一個這個：$a->str=new Test();調用get方法后，很明顯是一個將$this->看成一個對象，用函數的方法調用，因此來引發invoke方法

public function append($value){
        include($value);
    }
public function __invoke(){
        $this->append($this->var);
    }

因此我們繼續構造：$a->str->p=new Modifier();這里需要用到var屬性，我們就可以將var賦值為php://filter/read=convert.base64-encode/resource=flag.php，因為這里沒有過濾，就可以放心用。

現在問題就是怎么開始調用toString()這個函數，看了別人的wp說可以再實例化一次,$b=new Show($a);因為Show里面的construct函數是$file='index.php'參數，如果不傳參的話就會使默認值，當我們把$a這個對象傳入后，this->source=$a,然后遇到正則表達式，因為正則表達式是對字符串進行過濾嘛，因此$a被當作了字符串，因此引發了toString這個函數。

最終我們的構造是 

這里有點煩的就是由protect屬性，要加%00*%00，這里我學了一個小技巧，我們可以給他進一步url編碼，可以無視那些不可見字符，urlencode()

將編碼后的傳入pop參數

關于“Ezpop pop序列化鏈反序列化實例分析”這篇文章的內容就介紹到這里，感謝各位的閱讀！相信大家對“Ezpop pop序列化鏈反序列化實例分析”知識都有一定的了解，大家如果還想學習更多知識，歡迎關注億速云行業資訊頻道。