一道挺好的web。

做完这一题,感觉php序列化(甚至魔术方法)之类的有点开始玩明白了。

题面很长:

  预备知识:

   PHP类的方法中,有一部分以下划线开头的“魔术方法”。不同于普通方法的 被调用才会执行,魔术方法在满足某些条件时会自动执行。

   __construct()在使用new声明对象时会自动执行;

   __destruct()在对象被释放(unset或在程序结束时自动释放)时自动执行;

   __wakeup()在对象被成功unserialize时自动执行;

   __sleep()在对象被serialize时自动执行;

   __toString()在对象被当作字符串使用时自动执行;

    这里特别解释一下,“对象被当作字符串使用”是指对象被作为一个函数或方法的参数,而该参数本来限定为字符串类型。

    emmmm因为PHP弱类型的原因,我对这个理解也不是特别清楚。直接举例:

      echo new 类名();  会触发__toString(),因为echo可以输出字符串但不能直接输出对象。

      addslashes($xxx); 当$xxx是对象时会触发__toString(),因为addslashes本应操作字符串的。

   __call()在调用不存在的方法时被调用。本题里,就可以看到经典的__call()触发实例。

    addslashes在字符串中的单引号、双引号、反斜杠和NULL之前添加反斜杠。

     默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。

分析本题,我们的最终目标,是进入Admin::login且相关变量符合条件;

要这样,我们必须借助Admin::__toString()

如何进入呢?Admin自己方法中的addslashes肯定不行;

  我们借助Guest中的addslashes,控制它参数其中的一个为Admin类。

如何进入Guest::__call()呢?得让一个Guest类的对象执行一个Guest类没有的方法。

程序中的__construct我们是控制不了的;除此之外调用方法的地方就只有:

  User::login中的$this->admin->ban();Guest类没有ban方法。

  User有可用的__wakeup(); 搞定了。

最终payload:

  

SharkCTF2021 bbpop题记的更多相关文章

  1. SharkCTF2021 fastcalc题记

    web --> python脚本编写练习. 直接访问发现全是乱码: 看包发现Content-Type里面没有charset=utf-8. 于是用python访问一下,用.encoding='ut ...

  2. SharkCTF2021 easy_phpserialize题记

    ***先说教训: (1)不要看到正则就走不动路:有些正则不一定能绕. (2)__wakeup()漏洞在php5.6以上就被修复了: 本地复现各种题目时要注意环境. -------- 扫描,得到inde ...

  3. SharkCTF2021 bybypass&baby_phpserialize题记

    (国庆褪10天了 先水一篇) bybypass: payload:?anime_is_bae=hehellotherehoomanllotherehooman baby_phpserialize ro ...

  4. kendo-ui学习笔记——题记

    1.Kendo UI基于最新技术HTML5.CSS3和JavaScript标准设计开发.2.官方网址:http://www.kendoui.com/3.API网上查阅英文版网址:http://docs ...

  5. NOIp 0924 水题记

    这场貌似是gcd专场? 第一题很有意思,模拟gcd的过程即可. //0924 candy //by Cydiater //2016.9.24 #include <iostream> #in ...

  6. 使用Netty收发二进制报文问题记

    1.java二进制编解码 byteBuffer.flip() byteBuffer.getInt() 与 byteBuf.getInt(11) 2.粘包拆包问题 LengthFieldBasedFra ...

  7. 51nod水题记

    妈呀51nod已经刷不动了又开始跟bzoj一样总是得看题解了...那么发一下总结吧... 1051:最大子矩阵 #include<cstdio> #include<cstring&g ...

  8. 把这两天遇到的码(e)农(xin)题记下来

    1019: [SHOI2008]汉诺塔 1858: [Scoi2010]序列操作 1058: [ZJOI2007]报表统计

  9. 2014第一周五开发问题记URL传参乱码等

    今天修改了页面中URL传中文参数乱码问题,本来远离通过在tomcat中配置URIEncoder是可以解决所有乱码问题的,但怕以后有人下载一个新的tomcat然后直接把程序放里面运行然后再发现乱码问题而 ...

随机推荐

  1. Jenkins 使用PowerShell插件部署Net5项目

    Jenkins安装 PowerShell plugin 插件 新建自由项目 拖到 构建 处,添加 PowerShell 构建 贴入下方脚本即可 # 变量 $ProjectPath = "E: ...

  2. 剑指 Offer 34. 二叉树中和为某一值的路径

    剑指 Offer 34. 二叉树中和为某一值的路径 输入一棵二叉树和一个整数,打印出二叉树中节点值的和为输入整数的所有路径.从树的根节点开始往下一直到叶节点所经过的节点形成一条路径. 示例: 给定如下 ...

  3. Nginx:多项目开发配置跨域代理

    简述Nginx应用场景(前后端) 当我们开发 vue 项目中可以通过 proxyTable 进行跨域,但如果是原生的 html+css+js ,或者其他没有跨域插件的项目中,想要跨域就要引入配置许多的 ...

  4. sticky -- position定位属性sticky值之粘性定位;

    sticky简述 sticky 是css定为新增的属性:可以说是相对定位relative和固定定位fixed的结合: 它主要用在对scroll事件的监听上,简单说在滑动过程中,某个元素的距离其父元素的 ...

  5. vue 工作随笔

    现在工作要做一个电商项目,将工3作的笔记记在这儿,以后方便结总 本套项目用的前端方案 是: vue vue-router Element -ui Axios Echarts 后端技术采用node.js ...

  6. 浅谈 Xamarin Community Toolkit 的未来发展

    .NET MAUI会在今年晚些时候发布,我们也很高兴和大家一起分享我们对Xamarin Community Toolkit的计划! 这包括 .NET MAUI Community Toolkit.Xa ...

  7. 关于python中一切皆对象和深浅拷贝

  8. 致Python初学者,Python常用的基础函数你知道有哪些吗?

    Python基础函数: print()函数:打印字符串 raw_input()函数:从用户键盘捕获字符 len()函数:计算字符长度 format(12.3654,'6.2f'/'0.3%')函数:实 ...

  9. js特效代码-onmouseover/onclick 改变标签(背景)颜色

    <html> <head> <meta http-equiv="Content-Type" content="text/html; char ...

  10. Linux系列(32) - rpm命令管理之RPM查询(4)

    RPM包默认安装位置 RPM包默认安装路径 /etc/ 配置文件安装目录 /usr/bin/ 可执行的命令安装目录 /usr/lib/ 程序所使用的函数库保存位置 /usr/share/doc/ 基本 ...