一ACTF 新生赛 文件包含 filter
php:// — 访问各个输⼊/输出流(I/O streams)
php://input 是个可以访问请求的原始数据的只读流。
php://filter 是⼀种设计⽤来允许过滤器程序在打开时成为流的封装协议。这对于单独具有完整功能的⽂件函数⾮常有⽤,否则就没有机会在
读取内容之前将过滤器应⽤于流之上。
该协议语法为:php://filter:/<action>=<name>
php://filter 的参数列表
参数
功能
read
读取
write
写⼊
resource
数据来源
read参数值可为
string.strip_tags:将数据流中的所有html标签清除
string.toupper:将数据流中的内容转换为⼤写
string.tolower:将数据流中的内容转换为⼩写
convert.base64-encode:将数据流中的内容转换为base64编码 convert.base64-decode:与上⾯对应解码
点击题⽬所给链接,有如下url:
为典型的⽂件包含漏洞。我们可以通过构造含有漏洞的语句,查看想要看的代码: file=php://filter/convert.base64-encode/resource=index.php 。再将得到的base64码解码即可
二关于HTTP协议
$_SERVER[ "REMOTE_ADDR ],获取得是客户端与服务器三次握手建立TCP连接时的IP,这个无法伪造。(但会经历好多中间服务器)
$_SERVER[ "HTTP_CLIENT_IP" ],获取的是HTTP请求头 “CLIENT_IP”字段的信息。
$_SERVER[ "HTTP_X_FORWARDED_FOR],获取HTTP请求头“X-FORWARDED-FOR”字段的信息 。
$后面的两个所获取的信息,都是可以伪造的。
更改浏览器:需要更改请求头中User-Agent:
本地访问:X-forwarded-for:127.0.0.1
跳转:Referer
三easy sql
(1)第一种是猜出了源码select $_POST[‘query’] || flag from Flag,
sql_mode 设置了 PIPES_AS_CONCAT 时,|| 就是字符串连接符,相当于CONCAT() 函数
当 sql_mode 没有设置 PIPES_AS_CONCAT 时 (默认没有设置),|| 就是逻辑或,相当于OR函数
第一种就按默认没有配置来进行,此时||就是逻辑或
||在命令执行中见过,
回顾:
command1;command2顺序执行
command1 || command2
如果command1执行失败,则执行command2
command1 && command2
如果command1执行成功,则执行command2
因此只需要将$_POST[‘query’]
提交的数据换成*,1(如果直接写的话会被报错,且写在后面会失效)
解释:
sql=select.post[‘query’]."||flag from Flag";(拼接语句)
如果$post[‘query’]的数据为*,1
sql语句就变成了select *,1||flag from Flag,
就是select *,1 from Flag,这样就直接查询出了Flag表中的所有内容。
此处的1是临时增加一列,列名为1且这一列的所有值都为1
执行payload:*,1