php eval ctf,ctfhub技能树_web_RCE之eval、文件包含

最新推荐文章于 2024-05-10 22:37:11 发布
最新推荐文章于 2024-05-10 22:37:11 发布
阅读量991 收藏 3
点赞数 1
文章标签: php eval ctf

这次我们来看看RCE(远程代码/命令执行)吧。由于篇幅限制,这篇文章不包含命令注入,命令注入我会在另一篇文章中详细的记录。

eval执行

82b588594a9dec643aafadc8376091ef.png

打开题目,可以看到网页的源代码

e6f6c392e79e523db6f7369a7d7bebfc.png

通过代码可以看到,这就是典型的web后门,配置中国蚁剑

de71dac26cd1aa6bf39087a57cd936b4.png

进入后台,获取flag

0b593d286b62c518bb238734894a5ad3.png

文件包含

c107313f81b96251cfb7f190e1ed4d4f.png

看看代码:

ef8282e64bd0fa492b055b64ff29ac4e.png

strpos(string,find,start) 函数查找字符串在另一字符串中第一次出现的位置

参数

描述

string

必需。规定要搜索的字符串。

find

必需。规定要查找的字符串。

start

可选。规定在何处开始搜索。

返回值:

返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。

注释:字符串位置从 0 开始,不是从 1 开始。

可以看到如果get传入参数file的值开头不为xflag(x为任意字符),则执行include()函数。

include (或 require)语句会获取指定文件中存在的所有文本/代码/标记,并复制到使用 include 语句的文件中。

服务器后台有一句话木马shell.txt,因此我们的目标就是让服务器执行shell.txt中的语句。所以file的值为shell.txt

看看shell:

3842cc731984842a644a301178b1e275.png

则shell要传的参数是ctfhub:

5c538d9393d9e9ec9e303251e06ee348.png

查找flag:

find / -name flag*

2dc95f9f510c798f045ad4ace7962397.png

得到flag:

300fbf14ade943ec049e8235521c3a96.png

php://input

4e0aa1126119fb24a6273a11de5a34a8.png

首先看代码:

8c80c4e248e4006a06233ad54a6257cf.png

可以看到如果get的参数file前六个字符为”php://“则执行include函数

看看phpinfo

b79cc98956ecae2772bcdf0feec56444.png

可以看到allow_url_include是On,说明可以使用php://input伪协议。

php://input 是个可以访问请求的原始数据的只读流。其实说白了它就是用来获取post内容的,但是其实只要你把内容写到请求包中,post和get都能获取。

那我们就通过这个伪协议和精心构造的请求包来获取我们想要的信息(注意此时虽然我是get请求而不是post,但由于我的包中有内容,所以伪协议依然是接收到了):

1d6feed3d351fd818ec8056dd97a599c.png

这样我们就可以来找我们要的flag了

2fc90bf0e3e78f7f0407ca34aa46adb0.png

有了flag的路径,就可以得到flag了。

df9d2187e102cb880cccb5b57bb73df6.png

远程包含

3d36413cc54600f8431b3d1f8750fde8.png

看代码:

8f25938d58cf4cb16dbe632240058e93.png

这个题的解法和上一题php://input一模一样,不再赘述。

249c6cdb05185d1fc9b744ccc2846732.png

读取源代码

9be8e49d3f5618a2d2b303815fd2dc7c.png

代码审计:

bea35a7c96b3b20b6545391765fa7f2d.png

首先尝试php://input,发现没有返回结果

a238a21a4f5cfb41504334e6c7f59bc5.png

测试了好多遍都无果,那看来是没法用input了。再看题目,题目告诉我们了flag的路径,于是我们可以用另一条伪指令php://filter来进行读取

php://filter是一种元封装器, 设计用于数据流打开时的筛选过滤应用。简单理解就是个可以读取数据的过滤器。我们可以用它选择想要进行操作并读取的内容。

php://filter 目标使用以下的参数作为它路径的一部分。 复合过滤链能够在一个路径上指定。详细使用这些参数可以参考具体范例。

名称

描述

resource=

这个参数是必须的。它指定了你要筛选过滤的数据流。

read=

该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。

write=

该参数可选。可以设定一个或多个过滤器名称,以管道符(|)分隔。

任何没有以 read= 或 write= 作前缀 的筛选器列表会视情况应用于读或写链。

关于php://filter更多的妙用可以看这个大佬的文章。

知道了php://filter的用法,我们就可以读取flag了。

df43ce4fa735e48ec6e69120b9ba21e7.png

关于伪协议部分,这里是官方的文档。

至此,我们初步了解了文件包含和eval执行,解锁了对应的技能树,下一步,我们就来看看命令注入吧。

贝拉大帝
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf (easy_eval)
Glacier_Mount的博客
07-02 1695
反序列化、redis
php eval ctf,浅谈CTF中命令执行与绕过的小技巧
weixin_39758618的博客
03-16 1314
*本文原创作者:pupiles,本文属FreeBuf原创奖励计划,未经许可禁止转载缘起lemon师傅在安全客里发表的一篇文章,总结的很详细,学到了很多姿势。但是在此我还想画蛇添足的做一些补充及解释。补充一下命令执行的漏洞。空格绕过< 符号%09 符号需要php环境,这里就不搭建啦,见谅)$IFS$9 符号${IFS} 符号这里解释一下${IFS},$IFS,$IFS$9的区别,首先$IFS在...
CTFHUB-技能-Web题-RCE(远程代码执行)-文件包含
最新发布
Static______的博客
05-10 514
解释:假如在index.php中include了一个文件,那么不管这个文件后缀是什么 这个文件中的内容将会直接出现在index.php中。思路:只要我们把shell.txt的一句话木马内容传到index.php,就可以用蚁剑连接。是将ctfhub传的参数用php执行,题目的目的也是让我们执行shell木马那么我们就输入。那么这句代码的意思就是如果file中没有flag字符串就执行下面的。接着返回根目录,发现flag,接下来打开flag。用接着用蚁剑连接,寻找flag。在根目录下找到flag。
web8:文件包含(了解eval函数以及php文件操作)
y17861077326的博客
02-02 645
文件包含,根据题目以及代码的意思可知,这个题目与php文件有关系。 flag应该就在flag.php文件中,又可知,eval函数是执行字符串的,var_dump是显示变量内容和结构的。 有两种解法: 闭合var_dump:http://114.67.246.176:19411/?hello=1);print_r(file(%22flag.php%22),利用漏洞,修改了eval的参数的内容。变为了 eval(“var_dump(1);print_r(file(‘flag.php’));”) eval将.
CTFHub技能web(持续更新)--RCE--文件包含--php://input
jiuyongpinyin的博客
01-25 1111
php://input 做了两道题才知道自己对于文件包含这里完全没有什么思路,所以还是参考了大神的链接 大神链接:点我看大神链接 这道题打开的题目页: 代码的意思是检验在url的get传参中有没有file这个参数,如果有,从第0位开始,长度必须为6的参数值必须是php://(不知道我这么说,说的清不清楚),符合条件就传入,不符合就返回Hacker。 所以参考了大神链接后,get传入参数flie=php://input: [外链图片转存中…(img-z6pUNpjh-1611544235748)] yo
CTF之路:关于PHP eval() 注入问题
zw05011的博客
01-03 4632
CTF之路:关于PHP eval() 注入问题
STM3210C_EVAL_stm32_STM3210C_EVAL_temperature565_
09-29
由于信息有限,无法提供更多具体细节,但可以推测这个文件包含了与STM3210C EVAL开发相关的所有核心内容,如驱动程序、示例代码、配置文件等。 综上所述,这个资源包主要涵盖了以下知识点: 1. STM3210C:STM32...
test.rar_eval_eval;批量读取TXT文件
07-15
批量读取TXT文件"这个标题暗示了我们将在一个名为"test.rar"的压缩包中找到若干MATLAB文件(.m文件),它们可能包含了使用`eval`函数批量读取TXT文件并进行矩阵处理的代码。 `eval`函数在MATLAB中是一个非常强大的...
mxgraph-eval-1_8_0_6.zip_Java 8_mxgraph_mxgraph-eval
09-21
《mxGraph-eval-1_8_0_6:Java 8中的图形绘制库》 mxGraph-eval-1_8_0_6是一个专为Java 8设计的强大图形绘制库,它允许开发者创建交互式、可定制的图表和流程图。在软件开发中,特别是在业务流程建模、网络拓扑展示...
GD32107C_EVAL LiteOS FreeRTOS_key uCOS_III_key RTOS Demo源代码.zip
06-08
该压缩包文件包含了一系列关于GD32107C_EVAL开发板上运行的不同实时操作系统(RTOS)的Demo源代码,这些RTOS包括LiteOS、FreeRTOS、uCOS_III和RT-Thread,以及相关的库文件。这里我们将深入探讨这些RTOS及其在GD...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在网络安全领域,Capture The Flag(CTF)是一种流行的竞赛形式,让参与者通过解决各种安全问题来展示和提升自己的技能。本挑战专注于Web安全,特别是利用PHP语言进行实战演练。在这个"CTF-Web-Challenge"中,你将有...
eval-Bugku CTF
m0_56859693的博客
09-05 1419
今天在bugku刷到了一道基础题,感觉考察的很全面。 源代码如下 第一行 include是将flag.php包含在页面代码中,也不难推测flag在flag.php中 第二行 $_REQUEST可以将用户传入的hello传给服务器 第三行分两个部分:eval和var_dump var_dump即把输入的hello作为字符串string输出 eval则可以把字符串当作php代码执行 把hello赋值为system("ls") 发现包含flag.php和index.php ...
CTFhub RCE eval
luminous_you的博客
12-07 288
方法一: 可以用蚁剑直接连接webshell cd / find -name flag*//查找当前目录以及子目录下以flag开头的文件 方法二:【这里用post,用get也可以,毕竟是request记得加;】 cmd=system(“ls /”); cmd=system(“cd /;ls”); cmd=system(“cd /;cat flag_31360”); ...
PHP eval函数特性
weixin_30562507的博客
07-22 179
今天做一个ctf题目的时候发现 1 <?php 2 $f = $_POST['flag']; 3 $f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f); 4 if((strlen($f) > 13) || (false !== s...
ctf web方向与php学习记录5之eval()初见
这周末在做梦的博客
08-22 2993
由于bugku的本地包含无法打开,故找了其他人解题的过程以供学习。 https://www.cnblogs.com/0yst3r-2046/p/11062755.html 在本次学习中我将我学习的相关的原理和知识分享给大家,如下。 一,初见eval,智商开始下线 eval()函数中的evalevaluate的简称,这个函数的作用就是把一段字符串当作PHP语句来执行,一般情况下不建议使用容易被黑客利用。 (1)定义和用法 eval() 函数把字符串按照 PHP 代码来计算。 该字符串必须是是完整,合法的PH
python 计算器 eval ctf_python 的eval函数
weixin_39611208的博客
12-21 746
python中的eval()函数是用来计算所有数学的代数计算式,这样可以很快得到复杂代数式的结果。例如:383660347*375705824-1796136991-1726898699*1899420019*1700897586*642532444-2073968155+592065376+1145982995+178738053=>>>eval('383660347*3757...
PHP eval()函数
weixin_30455365的博客
04-08 116
eval(phpcode) phpcode:必需。规定要计算的PHP代码。 返回值:如果字符串中没有return语句,则返回NULL。如果代码中存在解析错误,则返回FALSE. 注:返回语句会立即终止对字符串的计算。 注:eval()函数可用来执行存储在数据库中的代码 转载于:https://www.cnblogs.com/carolina/articles/5368111.html...
python 计算器 eval ctf_CTF逆向--.NET与Python篇
weixin_42127835的博客
01-13 597
题目(来源:Jarvis-OJ):Classical CrackmeClassical CrackMe2FindKeyLoginClassical Crackme首先查壳 没有壳,不过发现这是一个.net的程序,将其拖进dnSpy中,找到主程序,同时发现关键代码,如下所示:private void \u202C\u200B\u206A\u202A\u206D\u206B\u202D\u2...
CTF---Web---文件包含---11---构造访问路径+过滤php代码
qq_22160557的博客
08-01 2109
文章目录前言一、题目描述二、解题步骤1、寻找上传点2、上传一句话木马3、构造访问路径3、绕过php代码过滤4、蚁剑连接三、总结 前言 题目分类: CTF—Web—文件包含—11—构造访问路径+过滤php代码 一、题目描述 题目:Bugku—文件包含2 http://114.67.246.176:13862/index.php?file=hello.php 二、解题步骤 1、寻找上传点 Step1:右键源代码,发现上传页面upload.php 2、上传一句话木马 Step2:因上传文件有限制,所以将一
eval函数读取文件 ctf
09-02
引用中提到了一种通过使用file()函数将文件内容存入数组,然后通过var_dump()和eval()函数将数组内容输出到页面的方法。eval()函数的参数是一个字符串,该字符串末尾必须有分号,并且在最后还要添加一个额外的分号来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值