0x01
进入页面如下
看不到什么东西,所以查看源码
源码中发现有一个链接到另一个页面,原页面为黑色看不到链接,所以我们转到链接给的页面
有一个按钮,点击看看
发现点击之后直接跳到了end.php页面,查看源码也没有什么有用的东西,应该是时间过短然后就跳转,所以我们用抓包截断一下,发现结果如下
验证了我的想法,存在这个页面,直接进去看看
0x02
<html>
<title>secret</title>
<meta charset="UTF-8">
<?php
highlight_file(__FILE__);
error_reporting(0);
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "Oh no!";
exit();
}
include($file);
//flag放在了flag.php里
?>
</html>
给出了一段html代码,存在inculde函数,看来需要用到文件包含来读取文件,先简单尝试一下
直接查看会出现这样的结果,查看页面源代码也没有任何东西,看来无法直接查看内容
通过对html代码的审计我们发现,代码过滤了data协议,input协议,ftp协议,当然还有一些协议它没有过滤,所以这里我们可以用伪协议文件包含来读取flag
0x03
file:// 访问本地文件系统
http:// 访问 HTTPs 网址
ftp:// 访问 ftp URL
Php:// 访问输入输出流
Zlib:// 压缩流
Data:// 数据
Ssh2:// security shell2
Expect:// 处理交互式的流
Glob:// 查找匹配的文件路径
这里尝试file协议直接读取,发现无法读取
所以尝试php伪协议,那么php://input也是被过滤了,所以这里唯一没有过滤的就是php://filter伪协议,所以这里我们使用该伪协议进行flag读取
payload:
?file=php://filter/convert.base64-encode/resource=flag.php
将读取到的内容base64解密得到flag
总结
考察伪协议和代码审计,就是常见的伪协议的运用