文章详情

登录

短信预约-IT技能 免费直播动态提醒

选择考试省份

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团

请输入下面的图形验证码

提交验证

短信预约提醒成功

BUUCTF [ZJCTF 2019]NiZhuanSiWei1

2023-10-06 06:51

关注

涉及知识点:

  1. php代码审计;
  2. date://text/plain协议;
  3. filter 协议;
  4. 反序列化;
  5. 魔术方法

 打开题目链接,是直接给出的php代码。

 
".file_get_contents($text,'r')."

";    if(preg_match("/flag/",$file)){        echo "Not now!";        exit();     }else{        include($file);  //useless.php        $password = unserialize($password);        echo $password;    }}else{    highlight_file(__FILE__);}?>

第一个if语句要求test不为空并且text内容为welcome to the zjctf.

函数file_get_contents()解释:

file_get_contents() 函数把整个文件读入一个字符串中。

file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。

file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法.

(ps:具体用法见:PHP file_get_contents() 函数)

于是便想到date://text/plain伪协议,构造payload绕过第一个if:

使用格式:data://text/plain,[code]
eg: data://text/plain,base64,[code]

http://522341e8-4fc1-4d56-822d-01a0962a4569.node4.buuoj.cn:81/?text=data://text/plain,welcome%20to%20the%20zjctf

重新发送后:显示如图所示:

 到此,第一个if绕过成功;

在第二个if语句中发现有提示useless .php文件,便想到使用伪协议filter读取文件内容,

php://filter
    用法:格式为php://filter/[write] or [read]=[过滤器]/[resource]=[文件路径]

构造第二个payload,读取php文件中的内容:

file=php://filter/read=convert.base64-encode/resource=useless.php

重新发送以后,显示如图所示:

将所得到的内容进行base64解码得到如下php代码:

file)){              echo file_get_contents($this->file);             echo "
";        return ("U R SO CLOSE !///COME ON PLZ");        }      }  }  ?>

 分析代码

可知flag应该存在于flag.php文件中;

__toString()是快速获取对象的字符串信息的便捷方式,似乎魔术方法都有一个“自动“的特性,如自动获取,自动打印等,__toString()也不例外,它是在直接输出对象引用时自动调用的方法。

__toString()的作用

当我们调试程序时,需要知道是否得出正确的数据。比如打印一个对象时,看看这个对象都有哪些属性,其值是什么,如果类定义了toString方法,就能在测试时,echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式化输出这个对象所包含的数据。

(ps __toString() 函数详解见:php反序列化及__toString() - 镱鍚 - 博客园)

第二个if语句中有一个反序列化:unserialize()函数:unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。可写出序列化代码:

(ps:具体用法见:PHP unserialize() 函数 | 菜鸟教程)

运行后可得到;

则可再一次进行构造完整payload:

?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

 即可显示:

 最后在查看网页源代码,即可发现flag。

 

来源地址:https://blog.csdn.net/biggerpig/article/details/127033961

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看

  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看

  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看

  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看

  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机

BUUCTF [ZJCTF 2019]NiZhuanSiWei1

后端开发2023-10-06

[ZJCTF 2019]NiZhuanSiWei

后端开发2023-09-09

buuctf-web-[RoarCTF 2019]Easy Calc1

后端开发2023-09-22

BUUCTF [极客大挑战 2019]BuyFlag1

后端开发2023-09-01

[极客大挑战 2019]Havefun1、EasySQL(BUUCTF)

后端开发2023-08-31

BUUCTF[极客大挑战 2019]Secret File1

后端开发2023-09-18

BUUCTF-Web-[极客大挑战 2019]Upload

后端开发2023-10-07

Buuctf [极客大挑战 2019]BuyFlag1 WP解析

后端开发2023-09-06

BUUCTF 之 [极客大挑战 2019] Havefun(GET 传参)

后端开发2023-09-11

BUUCTF:[极客大挑战 2019]RCE ME ——两种方法

后端开发2023-10-06
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载问答资讯