php 伪协议 lfi,php://伪协议(I/O)总能给你惊喜——Bugku CTF-welcome to bugkuctf

最新推荐文章于 2022-08-31 10:21:57 发布
最新推荐文章于 2022-08-31 10:21:57 发布
阅读量282 收藏
点赞数
文章标签: php 伪协议 lfi

今天一大早BugkuCTF 的welcome to bugkuctf 就给了我一发暴击:完全不会啊。。。光看源码就发现不知道怎么处理了,于是转向writeup求助。结果发现这是一道非常有营养的题目,赶紧记录一下。

题目链接:http://123.206.87.240:8006/test1/

49e33d241bbd

源码

要点很清晰,首先是三个变量用get方式传进去。(这里password变量不是重点)之后,要用file_get_contents读user变量(这里应为文件),且内容与所给字符串“welcome to the bugkuctf”严格相等。

emm,所以我就卡在了第一个点上,怎样让user文件的内容是“welcome to the bugkuctf”呢?于是php伪协议的第一个惊喜就出现了:php://input,功能上可以读入我们输入的内容,也就是说可以post字符串。(值得注意的是,php://input不能读get方式的传值)

除此之外,我们还有一个重点应该放在源码中提示的hint.php上,其要求是动态include($file),这时,以前用过的一招LFI就重出江湖了:

php://filter/read=convert.base64-encode/resource=hint.php

那么构造完整的url就是:

http://123.206.87.240:8006/test1/?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php

同时要post要求的字符串

返回的内容base64解码一波,如图

49e33d241bbd

hint.php

当然,这个内容肯定不太够,所以我们尝试看看index.php是否有其他的内容

49e33d241bbd

index.php

得到的完整源码如下:

class Flag{//flag.php

public $file;

public function __tostring(){

if(isset($this->file)){

echo file_get_contents($this->file);

echo "
";

return ("good");

}

}

}

?>

$txt = $_GET["txt"];

$file = $_GET["file"];

$password = $_GET["password"];

if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf")){

echo "hello friend!
";

if(preg_match("/flag/",$file)){

echo "不能现在就给你flag哦";

exit();

}else{

include($file);

$password = unserialize($password);

echo $password;

}

}else{

echo "you are not the number of bugku ! ";

}

?>

从源码才看出来网页源码给出的内容基本是唬人的,,,本来就是读的txt变量满足文件内容与welcome to the bugkuctf相等。。。但是思路确实是完全一致的。

而完整源码给我们的信息量就非常全面了,但是我自己迟迟没有找到要点。这里其实可以注意,我们能传的值只剩下password了,前面的file与txt都已经有了确定的值,那么思路就只需传password了。

password满足那些要求呢?且,源码中给出了关键提示的flag.php要怎么读呢?这里就涉及到几个关键要素:

1.file不能直接读flag.php,因为它正则匹配flag,所以无法令file=flag.php

2.但是,如果file文件名没有flag,就可以读file,传password并进行反序列化,最后以字符串形式输出password。

3.Flag类里面有一个魔术方法(貌似类似面向对象里面的构造方法),只要调用了flag类变量就会自动执行。方法的作用是什么呢?就是读出file的内容。

所以思路一下就非常清楚了:首先,txt传跟之前一样的值,file因为只是辅助的作用所以文件名叫hint.php就满足要求了。而为了读出flag.php内容,我们只需对password下手:password如果是flag类型变量,那么我们初始化时就会读出password变量的file属性,只要让这个file属性值为flag.php不就可以了吗?所以,最后一步只用把我们的想法用脚本付诸实践,以解决序列化的问题:

49e33d241bbd

用phpstorm在本地跑出来的结果

随后传值

49e33d241bbd

flag

总之,感觉自己的php还有很多要学,自己半吊子的自学还是差了口气。同时,php://用太多妙用了,日后有机会一定更新文章专门总结一下。

蒲牢森
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BugkuCTF中套路满满的题-------Welcome to the bugku
qq_42133828的博客
01-24 1812
这套题目主要涉及到的知识是php伪协议,若是不了解这个的话,这道题目基本就out了。。。 当然,不了解的小伙伴,可以到这位大佬的博客去瞅瞅https://www.freebuf.com/column/148886.html 其实总结之后,最常所用到的不过是php://input(将文件的内容读出)以及php://filter/read=convert.base64-encode/resourc...
了解PHP伪协议
Lemon's blog
05-04 928
前言:最近做题web题很多都涉及了PHP伪协议,这次就来详细的了解总结一下! php:// 说明: PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。 php:// 访问输入输出流,有许多子协议,下面就来学习一下 (一)php://filter 说明: php://f...
PHP LFI
iteye_16188的博客
11-09 187
1. LFI http://www.example.com/index.php?m[color=red][b]=php://filter/convert.base64-encode/resource=[/b][/color]index http://www.example.com/index.php?m[color=red][b]=php://filter/read=convert.base6...
PHP本地文件包含(LFI)漏洞利用
收集盒 Book box
10-13 633
如果是在win上,提交:test.php?for=D:\tools\readme.txt%00,就可以了,跨目录跨盘符。这里要注意,对于过多的”..\”,360会自动拦截,比较好的办法是使用ie或者ff。 但是光是浏览文件是不够的,我们还需要webshell。可以使用log
lfi-fuzz:用于枚举并尝试从LFI漏洞获取代码执行的python脚本
05-04
在使用此工具之前,您必须具有权限-该工具是为CTF使用而开发的,例如在TRYHACKME或HACKTHEBOX上! lfi-fuzz 用于枚举并尝试从LFI漏洞获取代码执行的python脚本 用法:lfi-fuzz.py [选项] 选项:-h,--help显示此...
【基础篇】第05篇:PHP代码审计笔记--文件包含漏洞1
08-03
本文旨在深入探讨“文件包含漏洞”的一种特殊形式——“有限制的本地文件包含”,并重点分析其中提到的三种技术手段:%00截断、路径长度截断以及点号截断。 #### 一、文件包含漏洞简介 文件包含漏洞是指攻击者通过...
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 127.0.0.1 www.baidu.com www.google.com 2...
awd-watchbird:适用于AWD的功能强大PHP WAF
03-19
易于配置(单文件,无需加载外部js / css)可以随时开启/关闭某项防御基本防御:数据库注入(SQL注入)文件上传(上传)文件包含(lfi)标志关键字PHP反序列化(反序列化)命令执行(rce)分布式拒绝服务攻击(ddos...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
php伪协议总结
h0ld1rs的博客
08-12 2727
文章目录file:// 协议条件:作用:说明用法php:// 协议条件作用:例子zip:// & bzip2:// & zlib:// 协议条件作用用法data:// 协议条件作用用法示例phar:// 协议用法 file:// 协议 条件: allow_url_fopen:off/on allow_url_include :off/on 作用: 用于访问本地文件系统,在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响。 inclu
LFI、RFI、PHP封装协议安全问题总结
csdnfala的博客
08-08 371
文件包含基本概念 文件包含是“代码注入”的一种,其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行。 文件包含可能会出现在JSP,PHP,ASP等语言中。 PHP: include(), include_once, require(), require_once(), fopen(), readfile() JSP/Servlet: ava.io.File(), Java.io.FileR...
bugku---welcome to bugkuctf
LuckySec
11-22 242
题目 http://123.206.87.240:8006/test1/ 查看源码 代码大概讲的是 需要get传递三个值:txt,file,password 并且 $user的文件内容为welcome to the bugkuctf $file为hint.php password暂时还没用到 file_get_contents(user,′r′)函数作用是将user,'r&am...
PHP-从LFI到RCE(上)
qq_50643984的博客
08-31 1690
利用的lfi本地文件包含,就是包含一个含有php代码的文件,不限制后缀名,也可以临时文件进行条件竞争,当然php是神奇的语言,有伪协议还有fastcgi,还有auto_prepend_file的参数,内存错误异常退出,甚至可以去看php底层代码,这些特性还有很多,值得我们探索。接下来我们可以从几道ctf题来看一下lfi到rce。...
php LFI漏洞的一些收集
u011500307的专栏
06-08 3265
1. LFI全称是local file include,先举个最简单的例子来说明下:
BugkuCTF welcome to bugkuctf
3tu6b0rn的博客
04-22 357
查看源代码 $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")) // $user必须存在 $user为文件且读出来...
CTF web题总结--LFI
bob的博客
08-30 8713
本地文件包含漏洞(Local File Include),是php的include()函数存在设计缺陷,学习链接:php文件包含漏洞总结 题目的url都是类似这种:http://127.0.0.1/web500/index.php?action=front&mode=index http://127.0.0.1/web500/index.php?action=front&mode=newnote
引入flag.php文件,flagphp中咋解决
weixin_33982355的博客
03-10 2520
该楼层疑似违规已被系统折叠隐藏此楼查看此楼include("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;function __construct() {$op = "1";$filename = "/tmp/tmpfile";...
bugkuctf-web(Writeup)
凝聚力安全团队
11-07 2781
目录web2计算器计算器 web2 题目: http://123.206.87.240:8002/web2/ Writeup: #查看页面源代码 ctrl + U F12 view-source: 计算器 题目: http://123.206.87.240:8002/yanzhengma/ Writeup: 正确答案是两位数字,maxlength限制了我们输入的字数,只允许输入1位。 由于前端代码在我们浏览器加载的,我们可以随意控制前端代码,修改maxlength大一些,再输入正确答案,即可获取f
php://filter/read=convert.base64-encode/resource=使用场景
最新发布
08-29
- *1* *2* [PHP伪协议filter详解,php://filter协议过滤器](https://blog.csdn.net/wangyuxiang946/article/details/131149171)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值