ctf show web入门37

进入靶场发现跟前几道题目不同，这是一道PHP本地文件包含漏洞（因为这道题与前几道题相比使用了include语句），并且还有正则黑名单绕过

代码非常精简，主要涉及以下几个关键点：
输入点：$c = $_GET[‘c’]; —— 程序通过 URL 参数 c 接收用户的输入。
过滤规则：if(!preg_match(“/flag/i”, $c)) —— 这里使用正则表达式检查c中是否包含字符串flag（i表示不区分大小写）。如果包含，程序就不执行后续操作。漏洞点：include(c 中是否包含字符串 flag（i 表示不区分大小写）。如果包含，程序就不执行后续操作。 漏洞点：include(c中是否包含字符串flag（i表示不区分大小写）。如果包含，程序就不执行后续操作。漏洞点：include(c); —— 这是最核心的漏洞。include 函数会将 $c 指向的内容当作 PHP 代码执行。
目标提示：//flag in flag.php —— 明确告诉了你 Flag 藏在 flag.php 文件里。

但是由于直接传入?c=flag,php会触发正则拦截我们需要一种方法来既能让include加载到文件但是又要保证url参数中没有flag
我们尝试构造的payload如下：?c=://filter/read=convert.base64-encode/resource=flag.php,代码执行成功但是并没有返回flag是因为
可能flag.php内部定义的变量名不叫flag(可能是flag(可能是flag(可能是f或者其他变量名)

所以我们尝试构造其他payload
比如我们可以尝试使用datd伪协议
data伪协议格式如:data://[媒介类型]；[解码方式],[数据]
最后的payload为?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

data://text/plain:告诉PHP处理器，接下来的数据是纯文本格式
；base64：声明后面的数据是用base64算法编码后的
PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==：这是经过base64编码后的PHP代码
内容为：<?php system('cat flag.php');?>
将system(“cat flag.php”);这个真正的payload放在<?php ?>标签中告诉服务器将这段内容当成PHP代码来执行

最后得到flag

或者使用?c=data://text/plain,<?php system('tac f*');?>也行