当前位置：首页 > article >正文

BUUCTF [ZJCTF 2019]NiZhuanSiWei 通关详解：从PHP伪协议到反序列化的三层渗透

article 2026/5/20 20:50:28

1. 题目初探与源码分析第一次看到这道题的时候我盯着屏幕上的PHP源码看了足足五分钟。题目给出了一个简单的PHP文件要求我们通过三个参数来获取flag。这种层层递进的题目设计在CTF中很常见但每一步都需要仔细思考。源码的核心逻辑是这样的首先检查text参数要求读取文件内容为welcome to the zjctf然后检查file参数会过滤flag关键字最后password参数需要进行反序列化操作。这种设计就像是三道门每道门都有不同的锁我们需要找到对应的钥匙才能通过。我特别喜欢这种分步骤的题目因为它能让我们清晰地看到每个安全漏洞是如何被利用的。下面我就带大家一步步破解这三道防线。2. 第一关data伪协议的妙用2.1 理解第一层防御第一关要求text参数读取的文件内容必须是welcome to the zjctf。看起来很简单但问题在于我们根本没有这样一个文件这时候就需要用到PHP的data伪协议了。data协议允许我们直接在URL中嵌入数据就像是在本地创建了一个临时文件。它的基本格式是data://text/plain,内容2.2 构造payload我尝试了最简单的payload?textdata://text/plain,welcome to the zjctf但有时候直接传递明文可能会遇到编码问题所以更稳妥的做法是使用base64编码。先用在线工具把welcome to the zjctf转成base64得到d2VsY29tZSB0byB0aGUgempjdGY然后构造?textdata://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY这样就能顺利通过第一关了。记住这个小技巧data协议在很多CTF题目中都能派上用场。3. 第二关绕过文件读取限制3.1 分析源码限制第二关的代码会检查file参数中是否包含flag字符串如果包含就直接退出。这明显是为了防止我们直接读取flag.php文件。但是代码中给出了一个重要提示useless.php。3.2 使用php://filter协议这时候php://filter协议就派上用场了。这个协议可以用来对文件内容进行各种处理比如base64编码。我们可以用它来读取useless.php的源码filephp://filter/readconvert.base64-encode/resourceuseless.php服务器会返回base64编码后的文件内容我们解码后就能看到useless.php的源代码了。这个技巧特别实用因为它可以绕过很多文件读取的限制。3.3 分析useless.php解码后得到的源码中有一个Flag类这个类会在反序列化时读取指定的文件内容。这给了我们重要提示flag可能就在flag.php中而我们需要通过反序列化来获取它。4. 第三关反序列化攻击4.1 理解反序列化漏洞这是最有趣的一关。useless.php中的Flag类在反序列化时会读取file属性指定的文件。这就是典型的反序列化漏洞利用场景。我们需要构造一个序列化字符串当它被反序列化时会读取flag.php的内容。具体来说我们需要创建一个Flag对象其file属性值为flag.php。4.2 构造payload我写了个简单的PHP脚本来生成序列化字符串?php class Flag { public $file flag.php; } echo serialize(new Flag()); ?运行后会得到O:4:Flag:1:{s:4:file;s:8:flag.php;}4.3 最终攻击链现在我们可以把所有部分组合起来?textdata://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGYfileuseless.phppasswordO:4:Flag:1:{s:4:file;s:8:flag.php;}这样就能成功触发反序列化漏洞读取flag.php的内容。记得查看网页源代码flag通常会在注释或者某个隐藏的div中。5. 防御措施与思考做完这道题后我思考了一下如何防御这类攻击。首先对于文件包含应该限制可包含的文件路径其次反序列化操作要特别小心最好避免反序列化用户输入最后敏感文件如flag.php应该设置适当的权限。这道题很好地展示了如何将多个漏洞串联起来进行攻击。在实际开发中我们需要注意每一个环节的安全因为攻击者往往会寻找最薄弱的环节入手。

BUUCTF [ZJCTF 2019]NiZhuanSiWei 通关详解：从PHP伪协议到反序列化的三层渗透

相关文章：

BUUCTF [ZJCTF 2019]NiZhuanSiWei 通关详解：从PHP伪协议到反序列化的三层渗透

深度解析Linux内核task_struct：从进程管理到性能调优

DeepSeek推理服务崩溃频发？3类隐蔽内存泄漏Bug的精准捕获与48小时修复方案

Perplexity语言学习资源实战手册：7天掌握高效外语输入+输出闭环的3大核心技巧

Perplexity体育搜索冷启动难题终结方案：从数据源注册到热点事件自动聚类，全程12分钟极速上线（含CLI脚本）

2026降AI率工具红黑榜：降AIGC工具怎么选？照着用就行！

2026实测：专业降AI率软件选这款就对了

Vidupe智能视频去重工具：3步高效清理重复视频的实用指南

金融项目实战：用sm-crypto为你的Vue/React前端和Node后端加上国密‘安全锁’

手把手教你用MP1470芯片设计一个12V转5V的DCDC降压模块（附完整原理图与PCB布局避坑指南）

Gitee项目管理为什么成为中国团队首选：本土化、安全合规与DevOps全链路的三重优势

别只会用!cat了：在Kaggle Notebook里动态编辑YOLOv5配置文件的完整攻略

长期项目中使用Taotoken观测用量与优化API调用策略

别再只盯着硬盘了！Windows内存取证入门：用ProcDump和Strings快速分析可疑进程的Dump文件

巡检记录分析不全面，导致安全隐患遗漏频发怎么办？揭秘实在Agent非侵入式提效方案

[网络工程师]-路由配置-NAT策略与多出口场景实战

GEE实战：Landsat 8 TOA和SR数据去云处理，保姆级代码对比与避坑指南

从ADC采样到FFT分析：手把手教你用STM32F407的DSP库搞定频谱计算

初创公司如何利用Taotoken管理多模型API成本与用量

为Claude Code配置Taotoken备用通道防止服务中断

Ubuntu20.04下Mapviz插件生态与多源数据融合实战

别再死记硬背参数了！Halcon形状匹配(create_shape_model)核心参数保姆级解读

从信号处理到AI：卷积的含参积分本质，如何帮你理解PyTorch中的Conv1d层？

实战解析：HAL库下ADC常规与注入模式在电机控制中的协同采样策略

从74LS00与非门到74LS86异或门：手把手教你用面包板搭建数字电路基础实验（附波形分析）

毕业答辩结束了，但我后悔没早点知道这件事

政务许可场景钓鱼邮件攻击机理与防御体系研究 —— 基于美国克恩县预警事件

FlicFlac音频格式转换工具：Windows平台轻量级音频处理终极指南

避坑指南：交叉编译Paho MQTT C时OpenSSL配置的那些‘坑’

瑞德克斯的本地团队反应是否积极？地区化支持完不完善？