题目描述

进入题目页面如下

看到题目提示应该为文件包含漏洞

解释上述代码

// 输出提示信息：错误的方式！
WRONG WAY! 
<?php
// 包含名为 "flag.php" 的文件，通常这个文件里可能包含重要的敏感信息，如 flag
include("flag.php");// 以语法高亮的形式显示当前 PHP 文件的源代码，便于开发者查看代码结构和内容，也可用于调试
highlight_file(__FILE__);// 检查是否通过 GET 请求传递了名为 "file1" 和 "file2" 的两个参数
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{// 若传递了这两个参数，则将 GET 请求中 "file1" 参数的值赋给变量 $file1$file1 = $_GET["file1"];// 将 GET 请求中 "file2" 参数的值赋给变量 $file2$file2 = $_GET["file2"];// 检查 $file1 和 $file2 变量的值是否不为空（既不是空字符串，也不是 null 等无意义的值）if(!empty($file1) && !empty($file2)){// 读取 $file2 所指定文件的内容，并检查其内容是否严格等于字符串 "hello ctf"if(file_get_contents($file2) === "hello ctf"){// 如果 $file2 文件内容是 "hello ctf"，则包含 $file1 所指定的文件// 也就是将 $file1 文件的代码插入到当前位置并执行include($file1);}}else// 如果 $file1 或 $file2 为空，则终止脚本执行，并输出 "NONONO"die("NONONO");
}

访问flag.php

显示错误

看源代码应在file1中传入读取flag.php语句、在file2中传入hello ctf

使用伪协议：如果目标服务器支持，也可以使用 php://input 或 data:// 伪协议来模拟这个文件。例如，使用 data:// 伪协议

当服务器处理这个请求时，会检查 file2 的内容是否为 "hello ctf"，由于使用了 data:// 伪协议，这个条件会满足。然后，服务器会包含并执行 file1 文件，即 flag.php，从而输出 flag 的内容。

用POST方式传参

?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=php://input

利用burp suite抓包按要求修改请求

得到的编码看着像base64编码

可以利用这个在线工具解码base64解码 base64编码 在线base64解码/编码工具 iP138在线工具

最终得到flag