[NPUCTF2020]ezinclude

这里打开便是显示用户名密码错误

查看页面源代码发现md5(secret.name)===pass,我们根本就不知道secret的值,所以就

先尝试输入name=1,抓包,发现cookie处有哈希值

将name等于7时,哈希值有所不同

所以这个哈希值就是pass的值,所以我们可以另name为1,pass为name为1是的Hash

返回404

查看抓到的登录包,发现在响应包中有flflflflag.php文件

访问flflflflag.php文件并抓包查看

发现这是文件包含,使用伪协议会返回首页面,没有别的内容

使用dirsearch进行目录扫描发现dir.php文件,访问一下

页面显示的 array(2) { 0=> string(1) "." 1=> string(2) ".." } 是典型的 PHP scandir() 函数的输出结果,表示当前目录下只有"当前目录 (.)"和"上级目录 (..)"。说明当前目录是干净的而只有 /tmp 目录在没有上传任务时经常是空的,只有 . 和 ..

这里考察的是PHP临时文件包含,其基本是两种情况:

1.利用能访问的phpinfo页面,对其一次发送大量数据造成临时文件没有及时被删除

2.PHP版本<7.2,利用php崩溃留下临时文件

使用py脚本尝试写入shell

复制代码
import requests
from io import BytesIO
 
payload = "<?php phpinfo()?>"
file_data = {
    'file': BytesIO(payload.encode())
}
url = "http://f6a351b3-c226-4aab-b5a7-1c72236efcc6.node4.buuoj.cn/flflflflag.php?"\
      +"file=php://filter/string.strip_tags/resource=/etc/passwd"
r = requests.post(url=url, files=file_data, allow_redirects=False)

绕过 include($_GET"file") 的限制,通过 php://filter 构造一个可写的临时文件。

利用 POST 上传的 file 字段,将恶意 PHP 代码写入到临时文件中。

让 PHP 包含并执行这个临时文件,从而获取服务器信息或读取敏感数据。

然后访问dir.php,发现有了一个phpFuLK0i文件

然后就可以查看/tmp目录下phpFuLK0i文件发现并不能直接访问tmp目录下的文件../一层一层尝试即可,访问执行后发现flag在phpinfo页中

相关推荐
HackTwoHub8 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
plainGeekDev9 小时前
依赖管理 → Version Catalog
android·java·kotlin
韩曙亮10 小时前
【Flutter】Flutter 进程保活 ③ ( 屏幕常亮设置 | Flutter 禁止息屏、关闭自动锁屏、屏蔽系统屏保 )
android·flutter·ios·屏幕常亮·禁止息屏
数据知道11 小时前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
爱笑鱼11 小时前
NDK、SDK、APP、Framework、Native 到底怎么区分?
android
私人珍藏库11 小时前
[Android] 发票制作器-内置多行业专业模板
android·人工智能·app·软件·多功能
阿pin11 小时前
Android随笔-PMS
android·pms
txg66611 小时前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss
悲凉的紫菜13 小时前
dariy
android·ide·android studio
2501_9159090613 小时前
IPA 深度混淆是什么意思?从混淆强度到实际效果的解读
android·ios·小程序·https·uni-app·iphone·webview