BUUCTF__[ACTF2020 新生赛]Include_题解

本文主要是介绍BUUCTF__[ACTF2020 新生赛]Include_题解，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

前言

• 心情极度复杂。又是一天过去了

看题

• 这题很简单了

• 打开F12或看url就能发现提示
  

• 看到这样的格式和题目 include 也很容易想起文件包含和PHP伪协议。

• 所以，直接用伪协议读取flag.php的源码构造 payload

   ?file=php://filter/read=convert.base64-encode/resource=flag.php
  

• 得到base64编码过后的源码。
  

• base64在线解密
  

• 成功得到 flag

补充：PHP伪协议

• 网上关于这个内容其实有很详细的讲解。比如 这个
• 我感觉这方面常见的在file://、php:// 和 data:// 但是比如data://和php://input这种可以造成直接危害的利用条件也比较苛刻，需开启双 on ，一般也不会这样设置。默认开启的话，只能读取文件，不能写入或执行。可以拿来当做源码泄露的条件得到源码进入下一步。

最后

• 没啥新知识点，新生赛=让大家做题怀疑自己是个新生
• 附上题目链接
• 持续更新BUUCTF题解，写的不是很好，欢迎指正。
• 最后欢迎来访个人博客

这篇关于BUUCTF__[ACTF2020 新生赛]Include_题解的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---