一道关于php文件包含的CTF题

一、源码

这是index.php的页面。

点击login后会发现url里多了action的参数，那么我们就可以通过它来获取源码。

?action=php://filter/read=convert.base64-encode/resource=login.php

再通过base64的解码可以查看源码。

index.php源码：

<?php
error_reporting(0);
session_start();
if (isset($_GET['action'])) {include $_GET['action'];exit();
} else {
?>
<!DOCTYPE html>
<html lang="en">
<head><meta charset="utf-8"><title>Login</title><meta name="viewport" content="width=device-width, initial-scale=1.0"><link href="css/bootstrap.css" rel="stylesheet" media="screen">
</head>
<body>
<div class="container"><div class="form-signin"><?php if (isset($_SESSION['username'])) { ?><?php echo "<div class=\"alert alert-success\">You have been <strong>successfully logged in</strong>.</div>
<a href=\"index.php?action=logout.php\" class=\"btn btn-default btn-lg btn-block\">Logout</a>";}else{ ?><?php echo "<div class=\"alert alert-warning\">Please Login.</div>
<a href=\"index.php?action=login.php\" class=\"btn btn-default btn-lg btn-block\">Login</a>
<a href=\"index.php?action=register.php\" class=\"btn btn-default btn-lg btn-block\">Register</a>";} ?></div>
</div>
</body>
</html>
<?php
}
?>

login.php的源码：

<?phprequire_once('config.php');session_start();if($_SESSION['username']) {header('Location: index.php');exit;}if($_POST['username'] && $_POST['password']) {$username = $_POST['username'];$password = md5($_POST['password']);$mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);if ($mysqli->connect_errno) {die("could not connect to the database:\n" . $mysqli->connect_error);}$sql = "select password from user where username=?";$stmt = $mysqli->prepare($sql);$stmt->bind_param("s", $username);$stmt->bind_result($res_password);$stmt->execute();$stmt->fetch();if ($res_password == $password) {$_SESSION['username'] = base64_encode($username);header("location:index.php");} else {die("Invalid user name or password");}$stmt->close();$mysqli->close();}else {
?>
<!DOCTYPE html>
<html>
<head><title>Login</title><link href="static/bootstrap.min.css" rel="stylesheet"><script src="static/jquery.min.js"></script><script src="static/bootstrap.min.js"></script>
</head>
<body><div class="container" style="margin-top:100px">  <form action="login.php" method="post" class="well" style="width:220px;margin:0px auto;"><h3>Login</h3><label>Username:</label><input type="text" name="username" style="height:30px"class="span3"/><label>Password:</label><input type="password" name="password" style="height:30px" class="span3"><button type="submit" class="btn btn-primary">LOGIN</button></form></div>
</body>
</html>
<?php}
?>

register.php的源码：

<?php
if ($_POST['username'] && $_POST['password']) {require_once('config.php');$username = $_POST['username'];$password = md5($_POST['password']);$mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);if ($mysqli->connect_errno) {die("could not connect to the database:\n" . $mysqli->connect_error);}$mysqli->set_charset("utf8");$sql = "select * from user where username=?";$stmt = $mysqli->prepare($sql);$stmt->bind_param("s", $username);$stmt->bind_result($res_id, $res_username, $res_password);$stmt->execute();$stmt->store_result();$count = $stmt->num_rows();if($count) {die('User name Already Exists');} else {$sql = "insert into user(username, password) values(?,?)";$stmt = $mysqli->prepare($sql);$stmt->bind_param("ss", $username, $password);$stmt->execute();echo 'Register OK!<a href="index.php">Please Login</a>';}$stmt->close();$mysqli->close();
} else {
?>
<!DOCTYPE html>
<html>
<head><title>Login</title><link href="static/bootstrap.min.css" rel="stylesheet"><script src="static/jquery.min.js"></script><script src="static/bootstrap.min.js"></script>
</head>
<body><div class="container" style="margin-top:100px">  <form action="register.php" method="post" class="well" style="width:220px;margin:0px auto;"><h3>Register</h3><label>Username:</label><input type="text" name="username" style="height:30px"class="span3"/><label>Password:</label><input type="password" name="password" style="height:30px" class="span3"><button type="submit" class="btn btn-primary">REGISTER</button></form></div>
</body>
</html>
<?php}
?>

config.php的源码：

<?php
$dbhost = 'localhost';
$dbuser = 'root';
$dbpass = 'root';
$dbname = 'web';?>

二、sql注入？

在审计代码的时候，发现了这么几行语句。

有sql的查询语句，那么是不是可以进行sql注入呢，其实不可以，因为这里使用了PHP的PDO处理，是很难进行注入的。

三、漏洞点

漏洞点当然还是在index.php下的include里，可以实现文件包含的漏洞，但要如何去实现呢？

我们可以去包含session文件，而想要包含session文件就需要知道文件的路径和文件的名字。

如何知道session文件的名字和路径

进入调试台，可以看到PHPSESSION，而session文件名一般是session值前面加一串ses_

至于路径的话，一般都是默认的那几个路径，网上查一查就知道了。

四、base64解码

根据这一行代码，我们可以知道，session文件中的内容是将username的值进行base64编码存放的。

那我们就需要把我们需要执行的命令写进用户名里。

我们来看看，session文件的内容。

既然它将我们的命令编码了，我们在url中也需要将其解码，我们就需要用php://filter伪协议。

运行完之后，发现失败了，那么是为什么呢？

四位一解码

我们查看session文件里的内容，根据base64的四位一解码，去掉无效字符我们发现

最后除了我们需要解码的内容外，只有三个数s28，这就会导致它向后面借了一位，就会使我们的命令解码出来是乱码，所以才失败。

那我们如何解决呢？

增加用户名长度

我们只需要增加用户名的长度，让其base64编码后的长度达到3位数，那么就可以解决这个问题了。

五、结果

http://127.0.0.1/include/session/index.php?action=php://filter/read=convert.base64-decode/resource=D:\phpstudy_pro\Extensions\tmp\tmp\sess_mt9ndl17bqmr1l1mlrodibtcsl

很明显我们成功了，不过需要注意的是，我们要显现出这个画面，要提前把index.php里的session_start();这句话给注释掉才行。