“百度杯”CTF比赛 2017 二月场 include

题目说的很明确, 直接告诉说是文件包含漏洞, 看了下分值感觉应该没有什么套路, 打开容器, 具体题目如下

确实很简单, 感觉php://filter/read=convert.base64-encode/resource=一把梭就能搞定

然而我马上发现我错了, 我并不知道flag所在的文件名, 尝试flag.php和flag.txt都是没有卵用的,

---

然后就没思路了, 只好虚心的去看其他师傅写的wp,

发现原来可以用一把梭的兄弟: php://input,

不过老实说, 我用这个兄弟很久了, 都没想过可以用它绕过,
不过说白了还是脑子转不过弯, 一把梭都行的东西, 换成它的兄弟又何尝不可?

不过还是要标注一下, 这个小兄弟是表示我们提交的POST数据, 就是除去Header的那部分.

想了下还是举个例子

比如我提交了一个POST数据为a=123的请求, 那么php取得php://input的内容就为a=123

同理, 随便请求数据的时候, 它就只会取得原来请求的那个文本, 并不会因为是json或者是key=value形式的数据而变成数组或者对象.

讲到这里, 或许你会发现, 这个小兄弟不就相当于一个文件路径,
include或者file_get_contents的时候, php就会去读取这个「文件」的内容

---

然后我们接着解这题,
php要include$_REQUEST.path的值, 那我们就把php://input传给它, 然后把POST数据改为php代码,
这样它就会去执行这些php代码了不是?

因为这些容器一般用的都是linux系统, 所以我们可以试着用system配合ls获取下当前网站目录下的文件列表

嗯, 这边要先加个小插曲,

一开始在Chrome下用HackBar插件的我, 以为是方法不行, 所以没成功,
然而, 在看了几个师傅的wp, 加上我用抓包软件测试, 再联想到以前插件是正常工作的, 但是这两天Chrome自动更新到78后,

所以我得出一个结论, Chrome吃相难看.

• 啊逗比说明年要停止Flash后, Chrome迫不及待的把Flash开关给隐藏的更深了,
  你在访问相关网站的时候, 只能先点网站设置才能看到相关设置, 设置后才会在原来那把破锁头下出现flash设置开关, 而且呢, 你还是得再开一次
• 总是没有告知用户而做自动更新, 当然, 首先是因为我刚好能连得上他们的服务器, 如果你不更新或者因为网络问题而总是连不上他们的服务器, 那么不好意思, 过段时间, 右上角就会出现引人注目的红色升级按钮逼死强迫症, 可你又「连不上」他们的破服务器不是吗?
• 而且不更新的时候, 总是会莫名奇妙的突然访问不了一些网站, 或者网站总有这样那样的问题, 但是一更新, 就什么毛病都好了(?)

也许你会说, Chrome是开源的, 可是, 你怎么能保证它开源的代码与他们打包后发给用户的程序之间, 一定没有做什么手脚呢?

---

不提这个了, 想到乌鸦真的扎心.

总之, 现在我是用抓包软件提交了数据

好在这题没有对函数做什么限制, 所以我们很轻松的就拿到了当前目录下的文件列表,

可以看到, 目录下有个奇怪的dle345aae.php,

我们再用cat获取下文件内容, 于是flag就出来了

细心的你也许发现容器链接变了,
那是因为水的太长时间, 导致环境超时失效, 只好重新创建hhh

也许你会说为什么不用一把梭,
但只要你仔细想想就能明白,
能直接搞定的事, 为什么要套一层base64编码不是?

---

不过派小兄弟上场也是有条件的, 那就是PHP的设置allow_url_include为on,

好在这道题给了个phpinfo, 让我们可以直接看到php的相关设置, 于是Ctrl + F开启搜索大法.

这几天刷了几道题下了, 感觉就是修行不够, 连简单题都水不出来, 果然革命尚未结束呢.

不过这样写wp确实很累, 但是为了避免哪天突然自暴自弃, 等后面想努力的时候看不懂, 还是坚持一下把.

最后, 接着吐槽csdn的神经病审核机制, (虽然我个人说明已经说不吐槽了, 但是一吐为快)

也不知道我这人哪有毛病, 别人和我说他的文章从来都不用审核就发出去了, 所以这是欺负我老实人?

好气啊, 可是我也懒得经营另一个博客, 想想写完md还要生成静态网页就麻烦,
虽然也支持自动部署就是了, 不过嘛, 我毕竟就一懒人, 能少动手就少动手,
等哪天看到比csdn更舒适的平台就撤, 反正挖坑再弃坑也不是一次两次了, 我也不是什么大佬, 粉丝或者用户? 不存在的.

审核员你把我这当做一个毫无卵用的威胁就成, 反正用户(体验)至下

吐槽完真舒服, 撤了, 估计明天起来就会发现我号没了hh