完整教程：BUUCTF[ACTF2020 新生赛]Include 1题解

BUUCTF[ACTF2020 新生赛]Include 1题解

• 题目分析：
• 知识准备：
• • `php://filter` 过滤器参数说明
  • 常用过滤器功能对照表
• 开始解题：
• • 原理解析
  • 构造payload
• 总结

题目分析：

生成靶机，打开网址，查看源码，抓包查看有无隐藏信息（公式化）。
点击tips：

发现一段留言：Can you find out the flag?，同时我们观察url

http://163da250-9a0d-4ec7-9002-49df5c87e38b.node5.buuoj.cn:81/?file=flag.php

结合题目标题以及url中的?file=flag.php，几乎就可以断定有文件包含漏洞了。

知识准备：

在开始解题之前，我们需要了解PHP伪协议的知识：
PHP伪协议通过替换数据报的头部信息来欺骗网络协议。

以下是关于 php://filter 参数的过滤器整理表格：

php://filter 过滤器参数说明

参数类型	过滤器名称	作用
必须项	resource=<要过滤的数据流>	指定待筛选过滤的数据流（必填）
可选项（读链）	read=<过滤器1|过滤器2>	为读链设置一个或多个过滤器，用管道符 | 分隔
可选项（写链）	write=<过滤器1|过滤器2>	为写链设置一个或多个过滤器，用管道符 | 分隔
默认链	<过滤器1|过滤器2>	未加前缀的过滤器列表将根据操作类型（读/写）自动应用到对应链

---

常用过滤器功能对照表

过滤器类型	过滤器名称	作用
字符串过滤器	string.rot13	等同于 str_rot13()，进行 ROT13 字符变换
	string.toupper	等同于 strtoupper()，将字符串转为大写
	string.tolower	等同于 strtolower()，将字符串转为小写
	string.strip_tags	等同于 strip_tags()，移除 HTML/PHP 标签
转换过滤器	convert.base64-encode	等同于 base64_encode()，进行 Base64 编码
	convert.base64-decode	等同于 base64_decode()，进行 Base64 解码
	convert.quoted-printable-encode	将 8-bit 字符串编码为 Quoted-Printable 格式（可打印字符）
	convert.quoted-printable-decode	将 Quoted-Printable 格式解码为 8-bit 字符串

---

开始解题：

原理解析

后端代码大概可能是下面这样：

include($_GET['file']
)

如果我不使用PHP伪协议，读取flag.php之后，include()就会自动执行其中的PHP代码，这样就无法在网站前端阅读到完整的源码。但是如果我们使用php://filter，对文件中的命令进行一些处理，就可以获得完整的源码。

构造payload

?file=php://filter/read=convert.base64-encode/resource=flag.php

payload中的每一个过滤器都能从上面的表格中找到，payload实现了把flag.php中的所有字符转换为BASE64编码，以逃脱include()执行php代码，获得完整源码

BASE64解码得到：

<?php
echo "Can you find out the flag?"
;
//flag{5b7c82b0-4473-42a3-bb8c-068dcd50a1d0}

FLAG被注释掉了,但是通过PHP伪协议找到了。

总结

本题的提示还是非常明显的，没有绕弯，主要考察了CTFer对文件包含漏洞和PHP伪协议的理解，总的来说不是很难适合初学者（比如我）。