SharkCTF2021 bbpop题记
一道挺好的web。
做完这一题,感觉php序列化(甚至魔术方法)之类的有点开始玩明白了。
题面很长:
预备知识:
PHP类的方法中,有一部分以下划线开头的“魔术方法”。不同于普通方法的 被调用才会执行,魔术方法在满足某些条件时会自动执行。
__construct()在使用new声明对象时会自动执行;
__destruct()在对象被释放(unset或在程序结束时自动释放)时自动执行;
__wakeup()在对象被成功unserialize时自动执行;
__sleep()在对象被serialize时自动执行;
__toString()在对象被当作字符串使用时自动执行;
这里特别解释一下,“对象被当作字符串使用”是指对象被作为一个函数或方法的参数,而该参数本来限定为字符串类型。
emmmm因为PHP弱类型的原因,我对这个理解也不是特别清楚。直接举例:
echo new 类名(); 会触发__toString(),因为echo可以输出字符串但不能直接输出对象。
addslashes($xxx); 当$xxx是对象时会触发__toString(),因为addslashes本应操作字符串的。
__call()在调用不存在的方法时被调用。本题里,就可以看到经典的__call()触发实例。
addslashes在字符串中的单引号、双引号、反斜杠和NULL之前添加反斜杠。
默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。
分析本题,我们的最终目标,是进入Admin::login且相关变量符合条件;
要这样,我们必须借助Admin::__toString()
如何进入呢?Admin自己方法中的addslashes肯定不行;
我们借助Guest中的addslashes,控制它参数其中的一个为Admin类。
如何进入Guest::__call()呢?得让一个Guest类的对象执行一个Guest类没有的方法。
程序中的__construct我们是控制不了的;除此之外调用方法的地方就只有:
User::login中的$this->admin->ban();Guest类没有ban方法。
User有可用的__wakeup(); 搞定了。
最终payload:
SharkCTF2021 bbpop题记的更多相关文章
- SharkCTF2021 fastcalc题记
web --> python脚本编写练习. 直接访问发现全是乱码: 看包发现Content-Type里面没有charset=utf-8. 于是用python访问一下,用.encoding='ut ...
- SharkCTF2021 easy_phpserialize题记
***先说教训: (1)不要看到正则就走不动路:有些正则不一定能绕. (2)__wakeup()漏洞在php5.6以上就被修复了: 本地复现各种题目时要注意环境. -------- 扫描,得到inde ...
- SharkCTF2021 bybypass&baby_phpserialize题记
(国庆褪10天了 先水一篇) bybypass: payload:?anime_is_bae=hehellotherehoomanllotherehooman baby_phpserialize ro ...
- kendo-ui学习笔记——题记
1.Kendo UI基于最新技术HTML5.CSS3和JavaScript标准设计开发.2.官方网址:http://www.kendoui.com/3.API网上查阅英文版网址:http://docs ...
- NOIp 0924 水题记
这场貌似是gcd专场? 第一题很有意思,模拟gcd的过程即可. //0924 candy //by Cydiater //2016.9.24 #include <iostream> #in ...
- 使用Netty收发二进制报文问题记
1.java二进制编解码 byteBuffer.flip() byteBuffer.getInt() 与 byteBuf.getInt(11) 2.粘包拆包问题 LengthFieldBasedFra ...
- 51nod水题记
妈呀51nod已经刷不动了又开始跟bzoj一样总是得看题解了...那么发一下总结吧... 1051:最大子矩阵 #include<cstdio> #include<cstring&g ...
- 把这两天遇到的码(e)农(xin)题记下来
1019: [SHOI2008]汉诺塔 1858: [Scoi2010]序列操作 1058: [ZJOI2007]报表统计
- 2014第一周五开发问题记URL传参乱码等
今天修改了页面中URL传中文参数乱码问题,本来远离通过在tomcat中配置URIEncoder是可以解决所有乱码问题的,但怕以后有人下载一个新的tomcat然后直接把程序放里面运行然后再发现乱码问题而 ...
随机推荐
- Spring系列之JDBC对不同数据库异常如何抽象的?
前言 使用Spring-Jdbc的情况下,在有些场景中,我们需要根据数据库报的异常类型的不同,来编写我们的业务代码.比如说,我们有这样一段逻辑,如果我们新插入的记录,存在唯一约束冲突,就会返回给客户端 ...
- 20210811 Dove 打扑克,Cicada 与排序,Cicada 拿衣服
考场 开考感觉 T3 比较可做.T1 看上去不难但毫无思路. 先想了 25min T3,想到一个确定左端点,二分最长的右端点,甚至想到了用猫树维护区间 or and...上厕所回来发现假了,没有单调性 ...
- noip模拟44
A. Emotional Flutter 直接将所有黑块平移到 \([1-k,0]\) 的区间即可,然后找有没有没被覆盖过的整点 注意特判 \(1-k\) 以及 \(0\) 的可行性,考场这里写挂成 ...
- Mysql 面试宝典
实时更新 你用过哪些数据库? mysql redis mysql 和 redis 的区别? 比较点 Mysql Redis 数据库类型 关系型 非关系型 作用 持久化层 存储需要持久化的数据,数据存在 ...
- Docker(41)- Portainer 可视化面板安装
Portainer docker run -d -p 8080:9000 \ --restart=always -v /var/run/docker.sock:/var/run/docker.sock ...
- vim的配置文件
网上一个比较常见的配置文件设置如下,这个配置还是很棒的,尤其创建脚本或者c文件时 " All system-wide defaults are set in $VIMRUNTIME/debi ...
- web、html概念快速入门
1.C/S和B/S 总结,理论上如果硬件不考虑(带宽.(图像资源加载)显卡等),B/S可以完全替代C/S: 2.静态资源和动态资源 其中,访问时动态资源,服务器后台也会通过视图解析器转换成静态资源,因 ...
- git换行符自动转换导致整个文件被修改的解决方案
不少开发者可能遇到过这个问题:从git上拉取服务端代码,然后只修改了一处地方,准备提交时,用diff软件查看,却发现整个文件都被修改了.这是git自动转换换行符导致的问题. 原因 不同操作系统使用的换 ...
- WPF listbox中Checkbox横向排列
<ListBox Height="220" Margin="0" ItemsSource="{Binding RightCollection}& ...
- TP5更新数据成功,但判断结果不符
thinkphp的CURD中,使用save方法时会出现一个奇怪的问题,即如果数据没有更新(与原数据相同),返回值判断为false.其实很久之前就发现了这个问题,一度以为是官方代码的问题,但是一直拖延到 ...