难得自己写出来的,不容易,记录一下
代码分析
进入页面看到index.php的源码,第一个include中的文件就是flag.php,但是并没有看到flag,可以看到第一行的WRONG WAY!应该就是直接include引用flag.php的结果
再继续往下看,要输入两个参数file1和file2,不为空时判断“文件”file2中的内容是否为“hello ctf”,而后再引用“文件”file1。这段代码就是这么个流程
那么好,下面开始操作。
构造payload
我先用了dirsearch对站点进行了扫描,没有得到有用的信息,没找到服务器上有内容为hello ctf的文件,于是乎直接搜索file_get_contents的绕过方法,一下子就找到了,文件包含&PHP伪协议利用_<?php echo file_get_contents("php://input"); ?>-CSDN博客,文章中对文件包含的相关知识点写的比较全面
用php://伪协议进行绕过,file2=php://input,post数据为hello ctf
上面已经说过直接include引用flag.php并不能得到flag,还是继续使用php://伪协议读取flag.php文件的内容,file1=php://filter/read=convert.base64-encode/resource=flag.php
Payload如下:
http://61.147.171.105:60457/?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=php://input
同时post传输数据hello ctf
为什么不用hackBar?因为我的浏览器上用着没反应,也不知道咋回事,不得不用再搞也不迟
得到响应数据
完活
PD9waHAKZWNobyAiV1JPTkcgV0FZISI7Ci8vICRmbGFnID0gY3liZXJwZWFjZXszMjQ0ZmJlMWI2M2EwZmMwZDVjMjAxYjQ1NDA0YTNiZH0=
这一段就是flag.php内容base64加密后的密文,解码就可以找到flag
cyberpeace{3244fbe1b63a0fc0d5c201b45404a3bd}