ctfshow web入门114

这是一道非常典型的 PHP 伪协议绕过(LFI/文件包含) 类型的 CTF 题目。代码的核心目的是让你读取到服务器上的某个文件,但它设置了严格的过滤。

php 复制代码
if(!is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
}

逻辑反转: 注意这里的 !(取反)。代码要求 is_file($file) 必须返回 false 才能进入文件读取的分支

含义: 如果你直接传入一个真实存在的文件路径(例如 file=flag.php),is_file() 会返回 true,取反后变成 false,直接触发 echo "hacker!";

突破思路: 我们需要传入一个既能让 is_file() (检查给定路径是否为一个常规文件)认为是目录或不存在的路径,但又能被 highlight_file() 正常解析并读取的特殊字符串

php 复制代码
if(preg_match('/compress|root|zip|convert|\.\.\/|http|https|data|data|rot13|base64|string/i', $file)){
    die('hacker!');
}

并且对输入的内容进行正则过滤

这里php://filter过滤器有部分被限制但是在旧版本或特定环境的 PHP 中,有些过滤器不需要显式写 convert.,或者可以用特殊组合

所以我们尝试构造payload:?file=php://filter/resource=./flag.php

  1. 为什么能成功绕过 is_file() ?
    代码中的第一道关卡是:
php 复制代码
if(!is_file($file)){ // 必须让 is_file 返回 false 才能进去
    highlight_file(filter($file));
}

在 PHP 中,is_file() 是用来检查一个本地常规文件是否存在的函数。

当你传入 $file = "php://filter/resource=./flag.php" 时:

is_file() 无法直接识别 php:// 这种内存伪协议流为一个普通的本地磁盘文件。

对于这种流或伪协议路径,is_file() 拿不到标准的操作系统文件状态,因此会直接返回 false。

!false 变成了 true,成功顺理成章地进入了 if 分支内部

  1. 为什么 highlight_file() 依然能读到文件?
    进入分支后,代码执行:
php 复制代码
highlight_file(filter($file));

虽然 is_file() 不认伪协议,但 PHP 的文件包含和读取函数(如 highlight_file()、include、file_get_contents())却原生支持 PHP 伪协议包装器(Wrappers)。

当 highlight_file() 接收到 php://filter/resource=./flag.php 时,PHP 底层会这样处理:

解析协议:识别出 php://filter 协议,知道这是一个过滤器流。

定位资源:看到 resource=./flag.php,PHP 包装器会在底层把它解析为当前目录下的 flag.php 文件。

读取并高亮:尽管没有使用 base64 等编码过滤器,这个协议的本质依然是"去读取 resource 指定的文件"。所以它会直接把 flag.php 的源码读取出来,并通过 highlight_file() 以高亮文本的形式渲染在屏幕上

相关推荐
四月天4335 分钟前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
负责的蛋挞1 小时前
异步HttpModule的实现方式
java·服务器·前端
随遇丿而安1 小时前
第11周:Activity 跳转与传值 + 跳转优化
android
疯狂打码的少年2 小时前
【操作系统】虚拟存储管理(局部性原理、缺页中断)
笔记
NULL指向我2 小时前
TMS320F28379D笔记5:CAN通信多邮箱配置
笔记
私人珍藏库2 小时前
[Android] BBLL 开源第三方B哩电视TV端
android·app·生活·工具·多功能
丹宇码农3 小时前
把 HLS 字幕玩出花:zwPlayer 如何让 M3U8 视频支持全文搜索、翻译与码率自适应
前端·javascript·音视频·hls·视频播放器
aaaameliaaa3 小时前
进制练习题【找出只出现一次的数字、交换两个变量(不创建临时变量)、统计二进制中1的个数、打印整数二进制的奇数位和偶数位、求两个数二进制中不同位的个数】
c语言·数据结构·笔记·算法
2501_943782353 小时前
【共创季稿事节】猜数字游戏:二分法思维与交互式反馈
前端·游戏·microsoft·harmonyos·鸿蒙·鸿蒙系统