1.打开网页,发现共有两个选项
2.随便点一个试下
emmmm,可以发现URL有变化,本来怀疑SQL注入,但是试了一下发现报错,但是根据报错也差不多可以猜测是文件包含.
3.因为php://filter可以获取指定文件源代码,所以尝试使用php://filter伪协议查看下源码,构造payload
php://filter/read=convert.base64-encode/resource=index.php
注:使用php://filter读取文件时 结构为php://filter/read=convert.base64-encode/resource=文件 名.php,因为需对文件内容进行base-64编码,否则会直接当作函数执行
好好好,后端加上php后缀了,删除php后缀再试一次
进行base-64解码,获得源码,并注意这行代码
emmm,构造payload时还需保留woofer,meowers,index
构造payload看下flag
category=woofers/../flag
可知,flag存在于index文件中
构造payload
php://filter/convert.base64-encode/index/resource=flag
拿到flag