进入题目,找到这个页面
在url中没有变化,右键查看源码
进入这个页面
/index.php?page=index
看到page,可能存在文件包含漏洞
补充知识点:
LFI漏洞的黑盒判断方法:
单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞
利用文件包含漏洞,有一个直接读取源代码的方法:
利用php伪协议,读取index.php源码
?page=php://filter/read=convert.base64-encode/resource=index.php
查看源码,得到这样的代码
重点在这:
preg_replace( pattern , repl