题目
访问题目场景
查看网页源代码,发现其中存在php代码
<?php
if( !ini_get('display_errors') ) {
//ini_get是获取php.ini里的环境变量的值。环境变量未设置错误回显
ini_set('display_errors', 'On');
}
error_reporting(E_ALL);//报告所有类型的错误
$lan = $_COOKIE['language'];//将cookie中['language']的值赋予lan
if(!$lan)
{
@setcookie("language","english");
//变量 lan为0,向客户端发送cookie(名称为"language",值为"english")
@include("english.php");//调用文件"english.php"
}
else
{
@include($lan.".php");//调用变量$lan,添加后缀".php
}
$x=file_get_contents('index.php');//将文件 index.php的内容读入变量 x中
echo $x;//输出 变量x的值
?>这里主要就是cookie的值,也就是language的值,源码中本身@include($lan.".php");已经添加了php后缀,所以在payload中无需再添加.php。
file_get_contents() 把整个文件读入一个字符串中。
该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
所以依小弟拙见,我认为这是一道编译的文件包含的类型题,只不过是通过cookie进行读取了,那我们依旧可以使用伪函数进行读取文件中的内容
php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。
那我们就直接构造payload吧
language=php://filter/convert.base64-encode/resource=flag; 我们使用HackBar进行操作
由于是base64进行的输出,那么我们把输出的值进行解密即可
