BasicFileInclude
解题思路
看到题目,可以知道这是一个文件包含漏洞的题,打开网址有两个活动页面(Home、Flag),很明显要找的东西在Flag页面。点击Flag页面,出现一句话”ha ha? you want flag? flag is here, but don’t let you see! “flag的内容被隐藏了,要想获取隐藏的信息就需要使用php伪协议,比如说经常使用的伪协议php://filter,一般用于任意文件读取。
php://filter有以下几个参数:
| 名称 | 描述 |
|---|---|
| resource=<要过滤的数据流> | 这个参数是必须的。它指定了你要筛选过滤的数据流。 |
| read=<读链的筛选列表> | 该参数可选。可以设定一个或多个过滤器名称,以管道符分隔 |
| write=<写链的筛选列表> | 该参数可选。可以设定一个或多个过滤器名称,以管道符分隔 |
| <;两个链的筛选列表> | 任何没有以read=或write= 作前缀的筛选器列表会视情况应用于读或写链。 |
php://filter/[read/write]=string.[rot13/strip_tags/…..]/resource=xxx
filter和string过滤器连用可以对字符串进行过滤。filter的read和write参数有不同的应用场景。read用于include()和file_get_contents(),write用于file_put_contents()中。
php://filter/convert.base64-[encode/decode]/resource=xxx
这是使用的过滤器是convert.base64-encode.它的作用就是读取upload.php的内容进行base64编码后输出。可以用于读取程序源代码经过base64编码后的数据。
根据上面的构造方法首先构造
http://123.207.149.64:23338/?page=php://filter/resource=flag
发现是没有反应的,其实是php语法文件include成功,直接运行。想要检查php的源文件,可以先base64编码,再传入include函数,这样就不会被认为是php文件,不会执行,会输出文件的base64编码,再解码即可。
得到Base64编码后的信息,进行解码后得到php源码。
总结
PHP支持的伪协议
1 | file:// — 访问本地文件系统 |
php://访问输入输出流,除了本题用到的php://filter,还有一个子协议是php://input:
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。
注:当enctype=”multipart/form-data”时,php://input是无效的。
file:// 与php:filter类似,访问本地文件,但是只能传入绝对路径
phar:// PHP 归档,常常跟文件包含,文件上传结合着考察。说通俗点就是php解压缩包的一个函数,解压的压缩包与后缀无关。
zip://,bzip2://, zlib:// 和phar://一样用于读取压缩文件,不过对于”zip://test.zip#file.txt”中的”#”要编码为”%23”.因为url的#后的内容不会被传送。
data://text/plain;base64,base编码字符串 很常用的数据流构造器,将读取后面base编码字符串后解码的数据作为数据流的输入。
上面就是一些php伪协议在CTF中的常见应用,可以根据具体的情况使用这些伪协议来帮助解题。