攻防世界:Web_php_include

攻防世界:Web_php_include

本文知识点

  1. php伪协议:

    • php://input,是一个只读流,用于访问 HTTP 请求的原始主体数据(body)。简单来说就是将请求体部分的内容当作文件进行读取。

      php 复制代码
      // 客户端发送:POST /api,Content-Type: application/json
      // 请求体:{"name":"张三","age":25}
      
      $json = file_get_contents('php://input');
      $data = json_decode($json, true);
      
      echo $data['name'];  // 输出:张三
      echo $data['age'];   // 输出:25
      
      // 对比 $_POST(此时为空数组)
      print_r($_POST);  // Array()
    • php://filter/convert.base64-encode/resource=flag.php: 将flag.php的内容编码为base64,防止php代码引擎执行。

    • php://filter/convert.iconv.<input-encoding>.<output-encoding> 这个同样能够转换php文件的编码。

  2. data伪协议:

    • data://text/plain, echo "nihao data", 这个协议可以将后面的内容当作文件传递(即echo "nihao data")。

解题思路:

  1. 根据源码可以看到,此题会将我们传递的page参数进行检查,然后用include包含。但是会将php://的数据替换掉,防止我们利用php伪协议。

  2. 两种方法:

    a. 尝试绕过php://的替换,这里的关键就是strstr函数与str_replace函数

    • strstr函数用于确定某个字符串是否含有有个字串,这里就是监测$page字符串中是否包含子字符串php://,但是他区分大小写
    • str_replace用于替换字符串的内容,这里就是将php://替换为空,但是这个函数区分大小写

    因此我们可以使用大写的PHP来绕过strstr以及str_replace的替换操作,如下:

    查看当前目录文件的数据:

    查看文件的内容,得到flag

    b. 使用data协议

    由于第一种方法已经知道文件是fl4gisisish3r3.php, 因此这里我直接传递如下的数据,注意,需要将空格替换为%20

c. 使用php的filter用于复习前面所学的知识

解码得到数据:

相关推荐
Lhappy嘻嘻4 小时前
Java IO|File 文件操作 + 字节流 / 字符流完整笔记 + 递归删除文件实战
java·笔记·php
胡萝卜术5 小时前
从API调用到手写LRU:力扣146「LRU缓存」的哈希表+双向链表终极进化之路
前端·javascript·面试
科技道人5 小时前
记录 默认置灰/禁用 app ‘Search Engine Selector‘ 的disable按钮
开发语言·前端·javascript
天疆说5 小时前
Zotero Connector 在 Edge 里找不到桌面 Zotero(Linux / Zotero 9.0.6 / Edge 150)
linux·前端·edge
李伟_Li慢慢6 小时前
02-从硬件说起WebGL
前端·three.js
kyriewen7 小时前
看了微软几万人用AI编程的数据——效率涨24%的代价没人提
前端·ai编程·claude
2601_963771377 小时前
How to Scale Your WordPress Store Traffic in 2026
前端·php·plugin
亿元程序员7 小时前
老板说我的3D箭头游戏用来做试玩太普通了,没人想玩,让我变点花样...
前端
李伟_Li慢慢8 小时前
01-threejs架构原理-课程简介
前端·three.js
_瑞9 小时前
深入理解 iOS 渲染原理
前端·ios