Jarvis OJ 神盾局的秘密

Jarvis OJ 神盾局的秘密

首先打开网页后，发现一张图片，下载下来看了一下，没有什么发现。让后回到刚才的网页，打开控制器，发现图片是以文件包含的形式传过来的，所以就可以联想，它既然可以包含图片，那应该也就可以包含文件。于是我们需要在url里面试，我们目前就只知道有一个叫showimg.php的文件，所以我们就从它开始试。base64转码后，提交到url，
让后成功访问了，打开页面原代码，看见了php代码。（页面源代码）

从代码中，我们可以了解到，我们可以传递一个参数，让后它会base64解密，并对它进行过滤，如果有…，/，pctf，//，这样的字眼，就返回do not file。如果没有这些字眼的话，就把传入的参数当作文件名，读取出来（如果有这个文件的话）。这相当于告诉我们第一个页面是如何进行文件包含的。
然后再回到文件包含的页面，看看index.php文件里有什么，一般每个文件夹下都会有一个index.php文件作为索引文件，它可以不用选择，就自动打开。我们访问后，同样打开页面原代码，又看到一个php代码，
大致意思是，定义一个shield类的对象$x，传递一个class的参数，把这个参数赋给$x，所以class传递的参数肯定也是一个对象。总结一下就是传递一个参数calss，让后反序列化一下赋给$x。但为什么要给它传值了，我们再打开下一个php页面。看见一个类，和一个提示，//flag is in pctf.php。它说flag在pctg.php里，这也就解释了为什么以一个源代码读取文件时，要把pcrf给过滤掉（要是第一个就能把它读取出来，那也太简单了把！！！）其实我感觉一点也不简单，第一次写根本不会！！！
这个类里有一个数据成员，一个构造函数，和一个普通函数，构造函数负责给数据成员赋值，而这个普通函数厉害了，它可以读取本对象(this)的数据成员（$file）所代表的文件，并以字符的形式返回。也就是说，要是我们定义一个对象，并把它的数据成员赋值为ptcf.php的，让后调用这个对象的普通函数，它就回读取出来它，也就是我们要的flag。再把第二个代码连起来，第二个函数里就是声明了这样的一个类，而且还调用了它的普通函数。
所以我们本来传递class=new Shiels(“pctf.php”),让后赋值给$s，就可以了，但题非得把class参数给反序列化一下，所以我们就必循先把“ new Shiels(“pctf.php”) ”这个东西给序列化，再传给$s。提醒一下我们不是把“new Shiels(“pctf.php”) ”这个字符串序列化，而是把这个对象序列化，所以我们要在第三个代码得基础上，添加

$a= new Shield(‘pctf.php’);

echo serialize($a);

在自己得服务器上运行，让后得到“new Shield(‘pctf.php’);”序列化后得结果：
再把它赋值给class，让后逻辑就连得通了：

$a= new Shield(‘pctf.php’);

得：
$a=O:6:“Shield”:1:{s:4:“file”;s:8:“pctf.php”;}
令
$g=class=$a=O:6:“Shield”:1:{s:4:“file”;s:8:“pctf.php”;}
$g=unserialize($g);
得
$g=Shield(‘pctf.php’);
赋值
$s=$a=Shield(‘pctf.php’);
调用函数，返回对象得数据成员所指向得文件，并输出
echo $x->readfile();return@fil{e}_{g}e{t}_{c}ontents($this->file);
连起来就是 echo file_get_contents(‘pctf.php’);

最后出flag