[极客大挑战 2020]Roamphp2-Myblog - 伪协议+文件上传+(LFI&ZIP)||(LFI&Phar)【***】

已于 2023-10-09 21:25:31 修改
阅读量460 收藏
点赞数
文章标签: web安全 安全 ctf 文件上传 LFI Phar 伪协议
于 2023-10-09 21:18:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oZuoShen123/article/details/133694884
版权
本文详细记录了解决一个名为Roamphp2-Myblog的CTF挑战过程,涉及Web安全中的文件上传漏洞和PHP伪协议。通过分析源码,发现可以利用session空值登录,然后利用zip和phar伪协议上传伪装成图片的压缩文件,执行恶意代码获取flag。
摘要由CSDN通过智能技术生成

[极客大挑战 2020]Roamphp2-Myblog

1

1 解题流程

1.1 分析

1、点击login,进入登录界面,用户名在首页提示了是longlone,密码未知,无法登录。
2、点击其他地方,发现没有什么线索,唯一有的只有page这个参数。
3、题目描述:Do you know the PHP pseudo-protocol? —— 意思就是跟伪协议有关系

1.2 解题

  1. 首先,我们通过page,看看是否能读取到源码
    ?page=php://filter/read=convert.base64-encode/resource=login
    得到以下关键代码
    <form method="post" action
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Hillain
关注
专栏目录
订阅专栏
[极客挑战 2020]Greatphp
snowlyzz的博客
09-15 648
php 原生类的学习与姿势利用,
[BUUCTF0223][极客挑战 2020]Roamphp1-Welcome
m0_52674595的博客
12-24 488
[BUUCTF0223] [极客挑战 2020]Roamphp1-Welcome 打开靶机 什么都没 查看源码 什么也没有 猜想不是用GET请求 尝试用POST请求 使用火狐的插件:RESTClient 使用POST请求 查看预览 看到要求 $_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'] 即roam1与roam2不能相等 再看sha1()函数 查看得知sha1()
[极客挑战 2020]Roamphp2-Myblog
最新发布
m0_64348326的博客
09-04 269
3.进入后台上面读取到的文件上传代码就重要了,它采取了白名单的方式只允许图片后缀上传,但是要访问压缩包里面的木马文件,还需要使用。木马文件,不用加后缀,因为它会自动加。文件,并从中读取序列化数据的。1.进入到界面,url主界面一个很明显的文件包含,直接用。,因为可以猜测到它的文件包含页面逻辑会给所有文件名都加上。,明显密码和登录界面说的一样,获取不了。协议的用法,因为想到了,无论文件是什么后缀,名给删除,php就找不到密码数据了,也就是。6.上传成功,访问即可执行命令,,上传的时候再访问压缩包内的。
[极客挑战 2020]
qq_62046696的博客
09-18 593
可以看到,他设置了白名单,但我想传一句话木马上去,而且上传成功的话他会告诉你上传的路径,然后再用之前可以传的page参数可以解析伪协议的,但是并不确定是否可以php文件也会被解析,先不想那么多,做来看。坚定了我传木马的决心,这里想到了将php文件打包成zip,改后缀名为jpg,再利用zip伪协议进行读取。整体看下来,要执行check过滤函数,我们就需要执行,waf的else部分,然后过滤掉了php、eval可以用PHP短标签进行绕过,比如。请求方式有误,比如应该用GET请求方式的资源,用了POST。
buu-day10
anwen12的博客
01-27 2250
0x01 [红明谷CTF 2021]JavaWeb /;/json绕过权限校验,然后漏洞探测 ["java.net.InetAddress","khl16k.dnslog.cn"] ["br.com.anteros.dbcp.AnterosDBCPConfig", {"healthCheckRegistry": "ldap://8.142.93.103:9090/test"}] ["ch.qos.logback.core.db.JNDIConnectionSource",{"jndiLocation"
buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1386
[极客挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 127.0.0.1 www.baidu.com www.google.com 2...
BUU刷题记录——7
weixin_43610673的博客
02-20 3888
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎杯 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不传值得话就可以进入if语句,跟进_fo
[极客挑战 2019]Upload——php短标签
m0_46607055的博客
09-03 1913
目录 题目信息 核心知识点(一)——php短标签 核心知识点(二)——GIF89a图片头文件欺骗 核心知识点(三)——phtml 解题步骤 题目信息 尝试一句话木马后发现,文件内容不能有 <? ,后缀不能是php 核心知识点(一)——php短标签 php短标签 <? echo '123';?> #前提是开启配置参数short_open_tags=on <?=(表达式)?> 等价于 <?php echo (表达式)?> #不需要开启参.
CTF Geek Challenge——第十一届极客挑战Web Write Up
无限迭代中......
11-18 1264
比赛时间:2020年10月17日早上9点 比赛时限:一个月 0x1Welcome sha1绕过、php文件包含、一句话木马 Postman发送POST请求 sha1绕过 0x2flagshop md5碰撞 0x3朋友的学妹 源代码泄露 Base64在线加密、解密工具:http://tool.chinaz.com/Tools/Base64.aspx 0x4EZwww 后台扫描 后台扫描 ...
极客挑战2020年部分wp
qq_46041723的博客
11-17 1720
2020极客挑战部分wp前言web一、朋友的学妹二、EZWWW三、刘壮的黑页四、welcome 前言 2020极客挑战开始了。又是一届自闭季。在变菜的路上一去不复返 web 一、朋友的学妹 打开题目 发现提示,然后查看控制窗口发现 然后看到base64加密,解密后得到flag。 二、EZWWW 打开题目 发现提示网站已经备份,那么就直接御剑扫后台得到 然后打开zip路径得到下载提示,打开 直接放弃文档里的flag。肯定假的。所以打开index.php,发现 <html> <hea
2020第十一届极客挑战——Geek Challenge部分wp
monster663的博客
10-26 4102
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
BUUCTF--[极客挑战 2020]Roamphp1-Welcome
qq_46263951的博客
07-29 387
进入页面后一片空白,查看源码也啥也没有,蒙蔽中... 看大佬wp说有提示,直接改为post请求即可查看到一段代码 根据源码中的提示,如果我们想要获取更多的信息就要使下面的语句成立 if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){ 若想成立非常简单,因为sha1函数无法处理数组,所以令两个变量都为数组则得出的结果为false===false值为..
[极客挑战 2019]RCE ME
SopRomeo的博客
04-19 1107
说明: 本篇大部分采用这篇博客的思路 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("Thi...
[极客挑战 2020]Roamphp1-Welcome 请求方式不对
qq_54929891的博客
05-14 298
进入后我没仔细看,发现网页无法正常运行,以为没网了,后面仔细一看报错的状态是405 百度安全验证 原来是请求方式有问题,便抓包改一下请求方式 <?php error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allowed"); exit(); } else { if (!isset($_POST['roam1']) || !is..
Hashpump实现哈希长度扩展攻击 | [极客挑战]RCEME
crispr的博客
02-17 2069
Hashpump实现哈希长度扩展攻击 | RCEME 0x01 HASH长度拓展攻击 哈希长度拓展攻击的原理有点过于复杂了,这里直接copy其他大佬的描述了。 长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象: ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024...
文件包含\\&LFI\\&RFI\\&伪协议编码算法\\&代码审计
09-02
文件包含(LFI)和远程文件包含(RFI)是一种常见的安全漏洞,允许攻击者在应用程序中包含恶意文件或代码。LFI漏洞是指应用程序中允许用户通过文件包含功能来读取本地文件的漏洞。而RFI漏洞则是指应用程序中允许用户通过远程URL来包含外部文件的漏洞。这两种漏洞都可能导致攻击者获取敏感信息或者执行恶意代码。 伪协议编码算法是一种常见的技术,用于绕过安全控制并执行特定的操作。在这里提到的伪协议包括"php://filter"和"convert.base64-encode/decode"。通过使用这些伪协议,攻击者可以对文件进行编码和解码,从而绕过安全限制。 代码审计是一种评估应用程序源代码的过程,旨在发现潜在的安全漏洞和其他问题。通过仔细分析应用程序的代码,可以确定是否存在可能导致文件包含漏洞或其他安全问题的缺陷。 总结起来,文件包含漏洞和远程文件包含漏洞是一种常见的安全漏洞,可以通过伪协议编码算法来绕过安全限制。代码审计是一种评估应用程序源代码的方法,可以帮助发现和修复这些漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计](https://blog.csdn.net/m0_65336233/article/details/127363413)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [day42 文件包含&LFI&RFI&伪协议编码算法&代码审计](https://blog.csdn.net/hesysd/article/details/128248212)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hillain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值