[SWPUCTF 2021 新生赛]PseudoProtocols、[SWPUCTF 2022 新生赛]ez_ez_php

[SWPUCTF 2021 新生赛]PseudoProtocols

打开环境，提示hint.php就在这里，且含有参数wllm

尝试利用PHP伪协议读取该文件

?wllm=php://filter/convert.base64-encode/resource=hint.php//文件路径

php://filter

读取源代码并进行base64编码输出。

有一些敏感信息会保存在php文件中，如果直接利用文件包含去打开一个php文件，php代码不会显示在页面上

 base64解码 得到让我们go to的路径test2222222222222.php

访问路径，得到新环境（包含flag.php文件，GET传参了a变量，如果a的内容为字符串I want flag，则输出flag）

参数a利用file_get_contents()函数以只读的方式打开。

（1）php://input

将参数a设为php://input,同时post想设置的文件内容

php执行时会将post内容当作文件内容。从而导致任意代码执行。

http://node4.anna.nssctf.cn:28908/test2222222222222.php?a=php://input//然后使用HackBar在POST里传入I want flag，即可成功读取flag

（2）data://协议

data://本身是数据流封装器，其原理和用法跟php://input类似，但是是发送GET请求参数。

http://node4.anna.nssctf.cn:28942/test2222222222222.php?a=data://text/plain,I want flag

//利用data:// 伪协议可以直接达到执行php代码的效果，例如执行phpinfo()函数：
data://text/plain,<?php phpinfo();?>//如果对特殊字符进行了过滤，可以通过base64编码后再输入：
data://text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=

[SWPUCTF 2022 新生赛]ez_ez_php

if (substr($_GET["file"], 0, 3) === "php") { ... }:

GET传参了file，并且如果file参数的前三个字符为php，表示用户请求的是一个PHP文件，返回“Nice!!!”

 代码提示flag.php文件，直接访问看看

给了一个假的flag，提示用PHP伪协议 并且真正的flag在‘flag’文件里面，由此构造payload

?file=php://filter/read=convert.base64-encode/resource=flag

base64解码得flag