[极客大挑战 2019]Secret File
一、考点
- 前端中背景可以覆盖内容,页面源代码可以查看完整的html
- 在php文件中可以写入html代码,html可在前端展示出来,php代码主要是处理数据,通常不会展示。
- 文件包含漏洞,PHP伪协议获取文件
- php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
二、解题步骤
1、打开网页,直接查看源码,发现隐藏的Archive_room.php,尝试访问
2、发现一个button,尝试点进去看看,发现直接跳转到了end.php,看到提示猜测是我们在中间有一些消息没有查看到
3、burp抓个包看看情况,果然不出所料,其中隐藏了一个我们没有查看到的secr3t.php
4、来尝试访问一下这个页面,得到一段php+html的代码回显
<html>
<title>secret</title>
<meta charset="UTF-8">
<?php
highlight_file(__FILE__);
error_reporting(0);
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag放在了flag.php里
?>
</html>
5、尝试访问flag.php的页面,果然无法访问,回过头来查看源码,发现是传入的file经过了过滤,过滤了…/ tp input data。利用文件包含漏洞,php伪协议来构造url
/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
6、访问新构造的url后,看到base64的回显内容,也就是flag.php加密后的内容
7、对回显内容base64解密得到flag.php内容的源码
8、得到flag{ecbc4b08-8522-48cd-a990-8cb4b8825ccf}
三、php://filter参数简单总结
php://filter 参数 | 描述 |
---|---|
resource=<要过滤的数据流> | 必须项。它指定了你要筛选过滤的数据流。 |
read=<读链的过滤器> | 可选项。可以设定一个或多个过滤器名称,以管道符(*\ *)分隔 |
write=<写链的过滤器> | 可选项。可以设定一个或多个过滤器名称,以管道符(\ )分隔 |
<; 两个链的过滤器> | 任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。 |
主要转换器类型:
- 字符串过滤器
- 转换过滤器
- 压缩过滤器
- 加密过滤器
本题遇到的转换过滤器
转换过滤器 | 作用 |
---|---|
convert.base64-encode & convert.base64-decode | 等同于base64_encode()和base64_decode(),base64编码解码 |
convert.quoted-printable-encode & convert.quoted-printable-decode | quoted-printable 字符串与 8-bit 字符串编码解码 |