点击左边的woofers会出现狗狗的图片,点击右边的meowers会出现猫猫的图片,但不论是出现什么图片url都会发生变化
出现了index.php?category,有点像伪协议,尝试一下php://filter/convert.base64-encode/resource=index
出现了base64加密字符串,解密即得源码部分
<?php
$file = $_GET['category'];
if(isset($file))
{
if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){
include ($file . '.php');
}
else{
echo "Sorry, we currently only support woofers and meowers.";
}
}
?>
审计代码得知,里面就一个函数是phpstrpos()(PHP strpos() 函数 | 菜鸟教程)函数,即搜索字符串,需要满足的条件是出现woofers或者出现meowers或者出现index才会进行下一步,下一步就是include函数包含了flag,构造payload:index.php?category=woofers/../flag
f12查看源码发现了
现在flag可以直接读了,再次利用伪协议读取php://filter/read=convert.base64-encode/woofers/resource=flag
发现了base64加密字符串,解密即得flag