先进去发现为一坨php代码,新手勉勉强强看得懂
接下来我们分析代码
WRONG WAY!
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{
$file1 = $_GET["file1"];
$file2 = $_GET["file2"];
if(!empty($file1) && !empty($file2))
{
if(file_get_contents($file2) === "hello ctf")
{
include($file1);
}
}
else
die("NONONO");
}
因为题目名字就叫文件包含,所以看代码我们可以看到文件包含漏洞位于file1与file2两个变量中,而file1放入了include函数中,而file2放入了file_get_content函数中,而且要求返回值必须为hello ctf。
-
接下来我们先来了解了解一下php伪协议吧!
大致协议如下:
php.ini配置文件参数
- allow_url_fopen :on #默认开启 ,表示允许url里的封装协议访问文件;
- allow_url_include:off #默认关闭,表示不允许包含url里的封装协议包含文件;
003-漏洞梳理篇之php伪协议_Min1996的博客-CSDN博客_php伪协议漏洞
(这位大佬写的是巨巨巨好!小白大致应该maybe能看懂大半)
php://filter | 读取源代码 |
file:// | 物理路径包含文件(用于本地系统) |
php://input | 是个可以访问请求的原始数据的只读流。(php://input可以读取没有处理过的POST数据) |
data:URL | 代码执行 |
-
好的,接下来继续闯关
服务端使用file_get_contents获取file2内容,这个时候我们传php://input给file2就能可以访问请求的原始数据的只读流(即可以读取没有处理过的post数据)。并且根据题目提示的我们需要获取当前目录下flag.php的文件内容。因此我们可以使用php://filter伪协议来读取源代码。最终可以得到flag.php经过Base64编码后的结果
此时我们url按照标准写入,但是却不返回信息。这时候要注意了file2可是需要post传参数才能显示file1执行的结果
好哒,成功拿到小旗子咯
来源地址:https://blog.csdn.net/weixin_62281892/article/details/127097154
