题目:[ZJCTF 2019]NiZhuanSiWei 1
题型:PHP反序列化、PHP伪协议
一、代码审计
首先可以明确得到的是 get传参,然后根据file_get_contents($text,'r')==="welcome to the zjctf"中file_get_contents是获取$text路径的内容并转化成一个字符串,且需要与welcome to the zjctf相等,因此考虑利用data://协议————将字符串包装成一个文件进行执行
同时第二个if判断利用正则表达式过滤掉了flag,不过else中提到了useless.php。因此可以通过filter协议进行文件读取
二、PHP伪协议
首先关于data协议
需要allow_url_include和allow_url_fopen都为On data://伪协议是数据流封装器,传递相应格式的数据。
通常可以用来执行PHP代码。
data://text/plain,
data://text/plain;base64,
由于filter需要利用base64过滤器,我们这里采用data的base64的格式,同时将welcome to the zjctf转化为d2VsY29tZSB0byB0aGUgempjdGY=
因此payload前半部分可以构造为
text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
其次关于filter协议
一般是用来读取本地文件或执行PHP脚本
格式为php://filter/[write] or [read]=[过滤器]/[resource]=[文件路径]
因此payload后半部分可以构造为用&符号连接两个语句file=php://filter/read=convert.base64-encode/resource=useless.php
text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php
OK这个界面下给出一串编码,直接复制通过Base64去解密
三、PHP反序列化
上面给出的信息是存在一个flag.php,所以需要想办法将这个flag.php读取出来
观察这个代码,发现存在魔法方法__toString()它是在直接输出对象引用时自动调用的方法,又正好有unserialize(),那就存在反序列化漏洞!!!
对于这种魔法方法,就可以构造我们的序列化字符串,使得$password等于我们构造的字符串,然后$password = unserialize($password)将我们构造好的序列化字符串还原成class Flag对象。最后通过打印 echo $password,触发函数__toString,即可读取flag.php
最后一段payload即:
password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php"}
序列化后对象的格式
对象类型:对象名长度:"对象名":对象成员变量个数:{变量1类型:变量名1长度:变量名1; 参数1类型:参数1长度:参数1;变量2类型:变量名2长度:“变量名2”; 参数2类型:参数2长度:参数2;… …}
那么最后的payload就是:?
text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
需要注意的是我们现在要读取的是flag.php文件并不需要访问useless.php文件,所以可以直接绕过————将它的filter伪协议删除
总结:这道题考察的点其实还是对于代码的敏感度,碰到了file_get_contents()之类的要想到PHP伪协议中相对应的协议,在看到有注释的内容时一定要重点关注,一般都是解题的方向。对于PHP反序列化漏洞,一定要找到关键点,如:魔术方法、unserialize()函数等