攻防世界————fileclude（内含php伪协议菜鸟讲解）

先进去发现为一坨PHP代码，新手勉勉强强看得懂

 接下来我们分析代码

WRONG WAY! php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{
    $file1 = $_GET["file1"];
    $file2 = $_GET["file2"];
    if(!empty($file1) && !empty($file2))
    {
        if(file_get_contents($file2) === "hello ctf")
        {
            include($file1);
        }
    }
    else
        die("NONONO");
}

 因为题目名字就叫文件包含，所以看代码我们可以看到文件包含漏洞位于file1与file2两个变量中，而file1放入了include函数中，而file2放入了file_get_content函数中，而且要求返回值必须为hello ctf。

• 接下来我们先来了解了解一下php伪协议吧！

 大致协议如下：

php.ini配置文件参数

• allow_url_fopen ：on #默认开启 ，表示允许url里的封装协议访问文件；
• allow_url_include：off #默认关闭，表示不允许包含url里的封装协议包含文件；

003-漏洞梳理篇之php伪协议_Min1996的博客-CSDN博客_php伪协议漏洞

（这位大佬写的是巨巨巨好！小白大致应该maybe能看懂大半）

• 好的，接下来继续闯关

       服务端使用file_get_contents获取file2内容，这个时候我们传php://input给file2就能可以访问请求的原始数据的只读流（即可以读取没有处理过的post数据）。并且根据题目提示的我们需要获取当前目录下flag.php的文件内容。因此我们可以使用php://filter伪协议来读取源代码。最终可以得到flag.php经过Base64编码后的结果

 此时我们url按照标准写入，但是却不返回信息。这时候要注意了file2可是需要post传参数才能显示file1执行的结果

 好哒，成功拿到小旗子咯

来源地址：https://blog.csdn.net/weixin_62281892/article/details/127097154