BUUCTF-Web-文件包含-[极客大挑战 2019]Secret File

BUUCTF-Web-文件包含-[极客大挑战 2019]Secret File

题目链接：BUUCTF
类型：文件包含
知识点： 302隐式重定向、php伪协议（php://filter） 、代码审计（针对此源码的审计在这边）

---

解题过程

直接看页面没啥信息,F12打开控制台发现一个超链接,因为设置了style样式和背景颜色一样所以看不出来,其实可以在页面中用ctrl+a找到这个超链接标签

跟随超链接进入到Archive_room.php页面,这里有一个SECRET链接标签,用控制台看是链接到action.php页面的

但是点进去后直接跳到了end.php页面

说明网页被重定向了,再退回到刚刚的Archive_room.php页面,先F12打开控制台的网络(记得选中捕获所有选项),然后再点击SECRET超链接查看请求网页的情况,发现action页面确实被302重定向了

通过查询http响应状态码302的信息,知道了这个叫做隐性重定向,也叫做临时重定向,302重定向表示原来的action.php页面还是存在的,只是临时的重定向到了另外一个页面,也就类似于一些网站的公告,点进去主页跳到一个广告页面几秒钟后再返回到刚刚的主页,这样的重定向客户端是可以阻止的,方法有很多,比如burpsuite、curl等工具,笔者觉得burpsuite大材小用,直接用curl就好,关于curl工具的用法可以看curl命令用法,curl命令访问http默认关闭重定向,如果要url支持重定向加上-L参数

直接用curl将action.php页面下载下来,然后html注释提示有一个secr3t.php文件

• url http://726dbf45-7b26-4883-9d02-23731319156f.node4.buuoj.cn:81/action.php
  

访问这个文件发现源码,源码提示flag在flag.php文件中（网页会解析flag.php文件,flag字符串应该是被注释掉了,直接访问是看不到的）

再次审计secr3t.php文件后发现未过滤php的filter协议

然后配合php://filter将flag.php文件通过base64编码出来

• ?file=php://filter/read=convert.base64-encode/resource=flag.php
  

最后去kali中用base64命令将base64解码（base64解码方法有很多,也可以去网上解码）,发现flag!

• echo "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"|base64 -d