知识点
empty() 函数用于检查一个变量是否为空。empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。
extract()函数从数组里将变量导入到当前的符号表。extract函数:可以进行变量覆盖。
语法:extract(array,extract_rules,prefix)
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组里的各元素,将在当前符号表里创建对应的一个变量。第二个参数 type 用于指定当某个变量已经存在,而数组里又有同名元素时,extract() 函数如何对待这样的突。该函数返回成功导入到符号表里的变量数目。
file_get_contents()把整个文件读入一个字符串里。
语法:file_get_contents(path,include_path,context,start,max_length)
该函数是用于把文件的内容读入到一个字符串里的首选方法。如果服务器操作系统支持,还会使用内存映射技术来增强性能。
trim()函数移除字符串两侧的空白字符或其他预定义字符。
语法trim(string,charlist)
经过分析,该段代码是将通过GET方法传入的参数赋值给其内某个变量,传入的参数如果和$fn文件里的字符一致时,便可以得到flag
本题分析
这道题目的考点是file_get_contents()函数绕过
绕过方法:
使用php://input伪协议绕过
1、将要GET的参数?xxx=php://input
用post方法传入想要file_get_contents()函数返回的值
2、用data://伪协议绕过
将url改为:?xxx=data://text/plain;base64,想要file_get_contents()函数返回的值的base64编码
或者将url改为:?xxx=data:text/plain,(url编码的内容)
本题适用的方法是第一类,因为还有个参数ac需要传递
解题流程
打开界面,有源码
trim函数:去除首尾空格
file_get_contents函数:读取文件内容
f变量从一个叫f变量从一个叫f变量从一个叫fn的文件里读取字符串,并消除两端的空格。
方法一:
源码里有file_get_contents($fn),加上提示:txt???,盲猜flag.txt,访问一下
内容为bugku,
根据if($ac === $f),构造?fn=flag.txt,&ac=bugku,最后得到flag
因为先访问flag.txt,得到内容bugku,文件名赋给fn,f就是文件内容,这样f和ac就相等。
This is flag: flag{a549de013c870694e08b03dbc4822edd}
方法二:
Burp抓包,修改请求头GET /ac=flag&fn=php://input HTTP /1.1,请求信息最下面添加flag就可以
首曝日程及议题)
...)
