- 进入题目,只有相应提示信息,查看网页源码,如下
可得一个有效信息 - 点击
Archive_room.php
尝试访问,发现只有一个 secret 按钮,可点击,同样先查看源码,看看情况再点击,避免无用功
- 发现
action.php
文件,尝试访问
宛如晴天霹雳,唰的一下,我啥也没看到哇~~~ - 你跳的欢,没关系,我抓包,一步步搞,总能得到些许有用的东西吧?回到上一步,即访问
Archive_room.php
文件,开启代理,burp suite 抓包走一波,抓包后,右键 —> Send to Repeater
发现端倪,secr3t.php
文件应当问中间过度文件,后续的包对我们没啥用处了 - 访问
secr3t.php
文件
<html>
<title>secret</title>
<meta charset="UTF-8">
<?php
highlight_file(__FILE__);
error_reporting(0);
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag放在了flag.php里
?>
</html>
得到关键信息,flag 所在位置,哇,感觉要突破了~~
6. 访问 flag.php
当场裂开,好鸡儿欠啊,以为是背景色掩盖了 flag,查看源码并修改背景色依然未发现。emmmm
7. 根据提示,可知 flag 就在此处,但是前端看不到,应该是写在了 php 文件中,那么怎样获取 PHP 文件内容呢?猜测应该是 secr3t.php
存在文件包含漏洞
8. 审计 secr3t.php
,发现过滤了一些关键字,但是未过滤 filter,那么我们可以尝试用 php://filter 来获取 flag.php 的内容,构造如下payload:
secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
注入测试:
得到 flag.php 加密后的内容,拿去解密即可:
9. 总结
主要考察文件包含漏洞与PHP伪协议的相关知识点。每步都有提示,难度不算太大。