ctf show web入门37

进入靶场发现跟前几道题目不同,这是一道PHP本地文件包含漏洞(因为这道题与前几道题相比使用了include语句),并且还有正则黑名单绕过

代码非常精简,主要涉及以下几个关键点:

输入点:c = _GET'c'; ------ 程序通过 URL 参数 c 接收用户的输入。

过滤规则:if(!preg_match("/flag/i", c)) ------ 这里使用正则表达式检查 c中是否包含字符串flag(i表示不区分大小写)。如果包含,程序就不执行后续操作。漏洞点:include(c 中是否包含字符串 flag(i 表示不区分大小写)。如果包含,程序就不执行后续操作。 漏洞点:include(c中是否包含字符串flag(i表示不区分大小写)。如果包含,程序就不执行后续操作。漏洞点:include(c); ------ 这是最核心的漏洞。include 函数会将 c 指向的内容当作 PHP 代码执行。

目标提示://flag in flag.php ------ 明确告诉了你 Flag 藏在 flag.php 文件里。

但是由于直接传入?c=flag,php会触发正则拦截我们需要一种方法来既能让include加载到文件但是又要保证url参数中没有flag

我们尝试构造的payload如下:?c=://filter/read=convert.base64-encode/resource=flag.php,代码执行成功但是并没有返回flag是因为

可能flag.php内部定义的变量名不叫flag(可能是flag(可能是flag(可能是f或者其他变量名)

所以我们尝试构造其他payload

比如我们可以尝试使用datd伪协议

data伪协议格式如:data://媒介类型解码方式,数据

最后的payload为?c=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

data://text/plain:告诉PHP处理器,接下来的数据是纯文本格式

;base64:声明后面的数据是用base64算法编码后的

PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==:这是经过base64编码后的PHP代码

内容为:<?php system('cat flag.php');?>

将system("cat flag.php");这个真正的payload放在<?php ?>标签中告诉服务器将这段内容当成PHP代码来执行

最后得到flag

或者使用?c=data://text/plain,<?php system('tac f*');?>也行

相关推荐
LONGZHIQIN11 分钟前
C#基础复习笔记
开发语言·笔记·c#
得闲喝茶26 分钟前
跨表数据匹配——VLOOKUP、XLOOKUP
大数据·数据库·笔记·信息可视化·数据分析·excel
智慧景区与市集主理人2 小时前
巨有科技:市集笔记内容分发,低成本打造本地流量曝光矩阵
大数据·笔记·科技
IDIOSF3 小时前
Apple Notes Liberator:把 Apple Notes 里的笔记搬出来
笔记·其他
ljt27249606613 小时前
CPU:从底层电路到高性能执行架构
笔记
普普通通的一名码农3 小时前
TPS6120芯片说明
驱动开发·笔记·芯片手册
Amazing_Cacao3 小时前
CFCA精品可可工艺师初级校准:暴力破解机器黑盒,实现物理参数与最终风味的精准对齐
笔记·学习
阿米亚波3 小时前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
杨逢昌工厂6S管理4 小时前
28- 杨逢昌:制造企业仓储6S反复混乱解决方案——四维定置标准化管控体系,让物料混放、通道堵塞等重复性乱象减少90%
大数据·经验分享·笔记·职场和发展·制造·学习方法
ctrl_v助手5 小时前
HALCON 学习笔记1
笔记·数码相机·学习·算法·计算机视觉