一道关于php文件包含的CTF题

最新推荐文章于 2024-08-27 19:32:02 发布
最新推荐文章于 2024-08-27 19:32:02 发布
阅读量199 收藏 1
点赞数 2
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62903168/article/details/141603367
版权

一、源码

这是index.php的页面。

点击login后会发现url里多了action的参数,那么我们就可以通过它来获取源码。

?action=php://filter/read=convert.base64-encode/resource=login.php

再通过base64的解码可以查看源码。

index.php源码:

<?php
error_reporting(0);
session_start();
if (isset($_GET['action'])) {
    include $_GET['action'];
    exit();
} else {
?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <title>Login</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <link href="css/bootstrap.css" rel="stylesheet" media="screen">
</head>
<body>
<div class="container">
    <div class="form-signin">
        <?php if (isset($_SESSION['username'])) { ?>
            <?php echo "<div class=\"alert alert-success\">You have been <strong>successfully logged in</strong>.</div>
<a href=\"index.php?action=logout.php\" class=\"btn btn-default btn-lg btn-block\">Logout</a>";}else{ ?>
            <?php echo "<div class=\"alert alert-warning\">Please Login.</div>
<a href=\"index.php?action=login.php\" class=\"btn btn-default btn-lg btn-block\">Login</a>
<a href=\"index.php?action=register.php\" class=\"btn btn-default btn-lg btn-block\">Register</a>";
        } ?>
    </div>
</div>
</body>
</html>
<?php
}
?>

login.php的源码:

<?php
	require_once('config.php');
	session_start();
	if($_SESSION['username']) {
		header('Location: index.php');
		exit;
	}
	if($_POST['username'] && $_POST['password']) {
		$username = $_POST['username'];
		$password = md5($_POST['password']);
        $mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);
        if ($mysqli->connect_errno) {
            die("could not connect to the database:\n" . $mysqli->connect_error);
        }
        $sql = "select password from user where username=?";
        $stmt = $mysqli->prepare($sql);
        $stmt->bind_param("s", $username);
        $stmt->bind_result($res_password);
        $stmt->execute();
        $stmt->fetch();
        if ($res_password == $password) {
            $_SESSION['username'] = base64_encode($username);
            header("location:index.php");
        } else {
            die("Invalid user name or password");
        }
        $stmt->close();
        $mysqli->close();
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>Login</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="login.php" method="post" class="well" style="width:220px;margin:0px auto;">
			<h3>Login</h3>
			<label>Username:</label>
			<input type="text" name="username" style="height:30px"class="span3"/>
			<label>Password:</label>
			<input type="password" name="password" style="height:30px" class="span3">
			<button type="submit" class="btn btn-primary">LOGIN</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

register.php的源码:

<?php
if ($_POST['username'] && $_POST['password']) {
    require_once('config.php');
    $username = $_POST['username'];
    $password = md5($_POST['password']);
    $mysqli = @new mysqli($dbhost, $dbuser, $dbpass, $dbname);
    if ($mysqli->connect_errno) {
        die("could not connect to the database:\n" . $mysqli->connect_error);
    }
    $mysqli->set_charset("utf8");
    $sql = "select * from user where username=?";
    $stmt = $mysqli->prepare($sql);
    $stmt->bind_param("s", $username);
    $stmt->bind_result($res_id, $res_username, $res_password);
    $stmt->execute();
    $stmt->store_result();
    $count = $stmt->num_rows();
    if($count) {
        die('User name Already Exists');
    } else {
        $sql = "insert into user(username, password) values(?,?)";
        $stmt = $mysqli->prepare($sql);
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        echo 'Register OK!<a href="index.php">Please Login</a>';
    }
    $stmt->close();
    $mysqli->close();
} else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>Login</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="register.php" method="post" class="well" style="width:220px;margin:0px auto;">
			<h3>Register</h3>
			<label>Username:</label>
			<input type="text" name="username" style="height:30px"class="span3"/>
			<label>Password:</label>
			<input type="password" name="password" style="height:30px" class="span3">
			<button type="submit" class="btn btn-primary">REGISTER</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

config.php的源码:

<?php
$dbhost = 'localhost';
$dbuser = 'root';
$dbpass = 'root';
$dbname = 'web';
 ?>

二、sql注入?

在审计代码的时候,发现了这么几行语句。

有sql的查询语句,那么是不是可以进行sql注入呢,其实不可以,因为这里使用了PHP的PDO处理,是很难进行注入的。

三、漏洞点

漏洞点当然还是在index.php下的include里,可以实现文件包含的漏洞,但要如何去实现呢?

我们可以去包含session文件,而想要包含session文件就需要知道文件的路径和文件的名字。

如何知道session文件的名字和路径

进入调试台,可以看到PHPSESSION,而session文件名一般是session值前面加一串ses_

至于路径的话,一般都是默认的那几个路径,网上查一查就知道了。

四、base64解码

根据这一行代码,我们可以知道,session文件中的内容是将username的值进行base64编码存放的。

那我们就需要把我们需要执行的命令写进用户名里。

我们来看看,session文件的内容。

既然它将我们的命令编码了,我们在url中也需要将其解码,我们就需要用php://filter伪协议。

运行完之后,发现失败了,那么是为什么呢?

四位一解码

我们查看session文件里的内容,根据base64的四位一解码,去掉无效字符我们发现

最后除了我们需要解码的内容外,只有三个数s28,这就会导致它向后面借了一位,就会使我们的命令解码出来是乱码,所以才失败。

那我们如何解决呢?

增加用户名长度

我们只需要增加用户名的长度,让其base64编码后的长度达到3位数,那么就可以解决这个问题了。

五、结果

http://127.0.0.1/include/session/index.php?action=php://filter/read=convert.base64-decode/resource=D:\phpstudy_pro\Extensions\tmp\tmp\sess_mt9ndl17bqmr1l1mlrodibtcsl

很明显我们成功了,不过需要注意的是,我们要显现出这个画面,要提前把index.php里的session_start();这句话给注释掉才行。

槐序深巷里打雨伞的人
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一道CTFPHP文件包含Session
qq_64395221的博客
06-20 656
中,因此我们输入的数据未经过滤的就被写入到了对应的sessioin文件中。结合前面的php文件包含,可以推测这里可以包含session文件。当base64串的长度小于100时,前缀的长度固定为15个字符,当base64串的长度大于100小于1000时,前缀的长度固定为16个字符。如果直接用php伪协议来解密整个session文件,由于序列化的前缀,势必导致乱码。中的内容,并将其进行序列化,然后发送给会话保存管理器来进行保存。的session文件路径是测试出来的,常见的也就如。
CTF文件包含漏洞总结
qq_64395221的博客
06-20 1216
通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。
ctf中怎样获取php文件源码,CTF文件包含的一些技巧
weixin_39580682的博客
03-09 3713
前言文件包含CTF 比赛也是常考的一个点,这里对一些包含点的原理、特征进行一些总结,并结合实际的例子来讲解如何绕过。php伪协议的分类伪协议是文件包含的基础,理解伪协议的的原理才能更好的利用文件包含漏洞。php://inputphp://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。使用条件:include()、includ...
php filter 文件包含,CTF文件包含的一些技巧
weixin_32512381的博客
03-10 941
前言文件包含CTF 比赛也是常考的一个点,这里对一些包含点的原理、特征进行一些总结,并结合实际的例子来讲解如何绕过。php伪协议的分类伪协议是文件包含的基础,理解伪协议的的原理才能更好的利用文件包含漏洞。php://inputphp://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。使用条件:include()、includ...
一道反序列化的CTF分享
seek_2022的博客
07-23 1140
一道有趣的CTF
一道ctf关于php反序列化字符逃逸
BerL1n
07-18 2389
2019强网杯 easy_sql 这知识点堆叠注入;以前还未遇到过 这是过滤掉的内容,因此常见的注入方式我们是不能再使用了。 然后提交试试。发现似乎是直接把返回的原始数据给返回了。 3.然后来测试一下有没有注入,似乎是有的。 /?inject=1%27or+%271%27%3D%271 /?inject=1’ or ‘1’='1 4.来检查一下过滤情况,过滤函数如下。 过滤了 select,u...
一道简单的CTF社工思路
qq_53829555的博客
09-27 1731
最近开始迷上了玩CTF,今天遇到一个很狗血的社工,与其说是社工,但是又搞得很杂,下面我来给大家讲讲这道目的思路.目来源:https://ctf.bugku.com/challenges/detail/id/187.html。
ctf中怎样获取php文件源码,ctf中关于php伪协议的考查
weixin_33483567的博客
03-09 1384
原创: Archerx ...
ctfphp反序列化,[世安杯]一道关于php反序列化漏洞的
weixin_36440198的博客
04-01 1007
Paste_Image.png没什么信息,因此ctrl+u查看源码:Paste_Image.png看到提示,file_get_contents()函数,联想到文件包含漏洞,因此google一波,查到Paste_Image.png查看原文因此试一试:Paste_Image.png补充一种饶过方法:由于本:allow_url_include=On因此可以包含一个远程文件,假设你的云服务IP地址为:x...
ctf 选择 库_CTF初体验
weixin_39576066的博客
12-19 2031
被逗哥(@Hustcw)安利了一波 CTF 赛,作为萌新我决定找点目练练手。什么是 CTFCTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。CTF 主要...
CTF之web学习记录 -- 文件包含
热门推荐
lifanxin的博客
05-11 1万+
文件包含概述常见文件包含函数和原理本地文件包含远程文件包含总结 概述   后端编程人员一般会把重复使用的函数写到单个文件中,需要使用时再直接调用此文件即可,因此该过程也就被称为文件包含文件包含的存在使得开发变得更加灵活和方便,但同时也带了安全问,导致客户端可以远程调用文件,造成文件包含漏洞。这个漏洞在php中十分常见,其他语言也有。 常见文件包含函数和原理 # php include() // 执行到include时才包含文件,找不到文件产生警告,脚本继续执行 require() // 程序运行就
upload-labs(Pass-18 ~ Pass-21)
m0_64849639的博客
08-23 499
所以我们只要上传的文件后缀不是白名单中的,该文件就还是会被删除2、思路:由于该文件后缀不是白名单中的,该文件就还是会被删除;但是,服务器删除该php文件是有一定的延迟的,若我们在这延迟中访问了该php代码,那么就会在当前目录生成shell.php文件3、实践:(1)、抓包进入爆破模块:(2)发包:此时就在源源不断的上传文件1.php,服务器也在一直删除该文件;
Upload-Lab第20关:如何利用文件名可控漏洞?
didiplus
08-27 98
在Upload-Lab的第20关中,系统没有对上传文件的内容进行验证,而是仅对用户输入的文件名进行了检查。具体来说,系统使用文件后缀名的黑名单进行过滤,但由于上传的文件名是用户可控的,这为绕过机制提供了可能性。此外,函数还有一个特性,即它会忽略文件名末尾的/.,这可以被利用来绕过后缀名的黑名单检查,从而上传恶意文件。通过这一关的学习,我们可以深入理解 Apache 配置文件的作用及其在安全防护中的重要性。同时,这也提醒我们在设计和开发上传功能时,必须考虑到所有可能的攻击面,确保服务器配置的安全性和稳健性。
【网络安全】XML-RPC漏洞之盲SSRF
最新发布
等风来
08-27 63
我收到的响应是这样的,响应体中的状态为0,表示请求已成功发送:
畅捷通CRM newleadset.php SQL注入漏洞复现
0xSec
08-26 262
用友畅捷CRM newleadset.php 处存在SQL注入漏洞 ,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
xss-labs通关攻略 11-15关
2301_82061181的博客
08-27 148
步骤二:修改User Agent:click me!" type="button" onmouseover="alert(/xss/)进行放包。步骤二:修改Cookie: user=click me!" type="button" onmouseover="alert(/xss/)" type="button" onmouseover="alert(/xss/)进行放包。name='步骤一:利用burp抓包。步骤一:利用burp抓包。
利用session.upload_progress执行文件包含
m0_70638961的博客
08-27 403
默认情况下,session.upload_progress是开启的,我们发送一下以下数据包,可见,我在上传文件的同时,POST了一个名为PHP_SESSION_UPLOAD_PROGRESS的字段,其值为。session.upload_progress最初是PHP为上传进度条设计的一个功能,在上传文件较大的情况下,PHP将进行流式上传,并将进度信息放在Session中(包含用户可控的值),即使此时用户没有初始化Session,PHP也会自动初始化Session。按理来说这个脚本是没什么问的。
TP6开发文档概述
l4120228的博客
08-27 209
TP6(ThinkPHP 6)是一个使用PHP语言开发的快速、兼容且简单的面向对象开发框架。
有关PHPCTF可以怎么构造
03-29
1. SQL注入:构造一道需要利用SQL注入漏洞的CTF目,让选手通过注入SQL语句,获取数据库中的敏感信息。 2. 文件包含:构造一道需要利用文件包含漏洞的CTF目,让选手通过包含恶意代码,获取服务器上的敏感信息。 3. XSS攻击:构造一道需要利用XSS漏洞的CTF目,让选手通过在网站中注入恶意脚本,获取用户的敏感信息。 4. CSRF攻击:构造一道需要利用CSRF漏洞的CTF目,让选手通过伪造请求,攻击网站上的功能,获取用户的敏感信息。 5. 命令注入:构造一道需要利用命令注入漏洞的CTF目,让选手通过注入系统命令,获取服务器的敏感信息。 6. 文件上传:构造一道需要利用文件上传漏洞的CTF目,让选手通过上传恶意文件,获取服务器的敏感信息。 7. 反序列化:构造一道需要利用反序列化漏洞的CTF目,让选手通过构造恶意序列化数据,获取服务器的敏感信息。 8. 加密算法:构造一道需要破解加密算法的CTF目,让选手通过分析加密算法,破解加密数据。 9. 验证码:构造一道需要破解验证码的CTF目,让选手通过分析验证码生成算法,破解验证码。 10. 代码审计:构造一道需要进行代码审计的CTF目,让选手通过分析代码,发现漏洞,并获取服务器上的敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值