首先分析源代码
题目类型为文件包含漏洞
通过GET传参获得flag
根据第3行 include(“./check.php”);
运用php伪协议
构造payload
php://filter/read=convert.base64-encode/resource=check.php
原理:利用filter协议读文件,将index.php通过base64编码后进行输出。这样做的好处就是如果不进行编码,文件包含后就不会有输出结果,而是当做php文件执行了,而通过编码后则可以读取文件源码。
没有得到我们想要的结果
“=convert.base64-encode“ 这个是对于编码格式的操作,将读取到的内容以Base64的格式加密,可以替换为
convert.quoted-printable-encode
、convert.iconv.<input-encoding>.<output-encoding>
除了convert转换过滤器以外,php还有String字符串过滤器、Zlib压缩过滤器,可以近似执行相关的功能,相互替
换~PHP: 可用过滤器列表 - Manual
我们优先考虑第三种格式convert.iconv.<input-encoding>.<output-encoding>
其中input-encoding、output-encoding支持的编码格式如下图所示
我们用最常用的UTF-8,UTF-16试一试
重新构造payload
php://filter/convert.iconv.UTF-8.UTF-16/resource=check.php
发现有收获
我们先分析check.php的代码
<?php
if($_GET["filename"]) //检查输入内容
{ $preg_match_username = 'return
preg_match("/base|be|encode|print|zlib|quoted|write|rot13|read|string/i",$_GET["filename"]);' //匹配字符串:/base|be|encode|print|zlib|quoted|write|rot13|read|string/i",$_GET["filename"]
;
if(eval($preg_match_username)) //执行匹配,如果输入含有上述字符串
{ die("do not hack!"); } //关闭脚本,并输出"do not hack!"
}
再把我们要查看的文件改成flag.php
得到flag