攻防世界-宜兴网信办-fileinclude

题目

访问题目场景

查看网页源代码，发现其中存在php代码

<?php
if( !ini_get('display_errors') ) {
//ini_get是获取php.ini里的环境变量的值。环境变量未设置错误回显
  ini_set('display_errors', 'On');
  }
error_reporting(E_ALL);//报告所有类型的错误
$lan = $_COOKIE['language'];//将cookie中['language']的值赋予lan
if(!$lan)
{
	@setcookie("language","english");
//变量 lan为0,向客户端发送cookie（名称为"language"，值为"english"）
	@include("english.php");//调用文件"english.php"
}
else
{
	@include($lan.".php");//调用变量$lan，添加后缀".php
}
$x=file_get_contents('index.php');//将文件 index.php的内容读入变量 x中
echo $x;//输出 变量x的值
?>

这里主要就是cookie的值，也就是language的值，源码中本身@include($lan.".php");已经添加了php后缀，所以在payload中无需再添加.php。

file_get_contents() 把整个文件读入一个字符串中。

该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持，还会使用内存映射技术来增强性能。

 所以依小弟拙见，我认为这是一道编译的文件包含的类型题，只不过是通过cookie进行读取了，那我们依旧可以使用伪函数进行读取文件中的内容

php://filter 是一种元封装器， 设计用于数据流打开时的筛选过滤应用。 这对于一体式（all-in-one）的文件函数非常有用，类似 readfile()、 file() 和 file_get_contents()， 在数据流内容读取之前没有机会应用其他过滤器。

那我们就直接构造payload吧

language=php://filter/convert.base64-encode/resource=flag; 

 我们使用HackBar进行操作

由于是base64进行的输出，那么我们把输出的值进行解密即可