[BSidesCF 2020]Had a bad day1

提示

1. php伪协议的利用

在做题之前让我们先来了解一下php伪协议的一些知识点

• 在正常的语法中php伪协议是这样的php://filter/read或者write=********/resource=xxxx

• 但是在php伪协议中是靠关键字来匹配参数的，那么其余的部分按照他的规矩来说应该可以随意写成自己所想的样子

例如：php://filter/read=*****/随便写/resource=xxxxxxx

这里拿到题目随便点击一个

这里能看到categoty变量接收了woofers，这里因该是一个可控变量

尝试通过php伪协议读取index.php

category=php://filter/read=convert.base64-encode/resource=index.php

从报错来看使用的是include（）包含，并且会在后面自动加后缀.php

得到base64加密后的index.php

category=php://filter/read=convert.base64-encode/resource=index

这里并没有出现全，检查页面源代码复制然后去解码

1. 从这里能看到首先用file接收了传入的参数然后判断是否存在参数
2. 然后判断变量file里是否存在woofers或者meowers或者index不然退出
3. 最后才是将变量file和.php合起来通过include包含

到这里就要用到最开始讲的知识点了

我们需要读取flag.php但是里必须有woofers之类的

php://filter/read=convert.base64-encode/woofers/resource=./flag

虽然报错了但是出现了base64编码

成功获得flag