【网络安全 | CTF】攻防世界 fileinclude 解题详析(php伪协议)

已于 2024-05-31 09:34:37 修改
阅读量6.7k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF新手入门实战教程 文章标签: web安全 安全 php php伪协议 网络安全
于 2023-07-31 14:36:03 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/132021542
这篇博客详细分析了攻防世界fileinclude挑战的解题过程,涉及PHP文件包含漏洞和PHP伪协议的使用。通过查看index.php的源代码,发现可以利用文件包含漏洞,结合PHP伪协议读取同一目录下的flag.php,最终解密获取flag。

正文

在这里插入图片描述
由于index.php在/var/www/html目录下,而flag.php与index.php同为php文件,故猜想flag.php也在该目录下。

查看页面源代码获取更多信息:

在这里插入图片描述
源代码中看到@include($lan.".php");,即此处存在文件包含。

又因为$lan = $_COOKIE['language'];

因此解题思路为:利用php伪协议,构造language参数,来读取该目录下的flag.php文件

php伪协议本文不再赘述,可参考该文: php伪协议+CTF赛题实战

POC:

lang
了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | CTF攻防世界 fileclude 解题php伪协议
等风来
07-31 7311
代码功能:检查通过GET请求传递的两个参数"file1"和"file2"。如果这两个参数都存在且非空,它将读取"file2"文件的内容,如果内容等于"hello ctf",则会执行"file1"文件。对于file1,我们可以使用 convert.base64-encode 过滤器来读取位于 flag.php 文件中的内容,并将其转换为 base64 编码的形式。php://input 是一个 PHP 的内置流(stream)封装器,用于从请求的正文(body)中获取原始的输入数据。
网络安全 | CTF攻防世界 file_include 解题php伪协议+convert转换过滤器)
等风来
07-31 7339
也就是说我们修改POC之后得到的check.php中的内容其实是逻辑判断代码,与flag无关。由代码审计可知,可通过filename参数构造POC,来读取check.php。回显的代码使用了正则表达式来匹配指定的字符串,如果输入中包含了。故猜想flag在flag.php中,修改POC即可得到flag。该题涉及到 convert转换过滤器。中的任何一个字符串,就会关闭脚本。猜测关键字被过滤,怎么办呢?题目描述:怎么读取文件呢?对于本题,将初始POC。
攻防世界-fileinclude
weixin_39579781的博客
04-13 871
题目说flag在flag.php中,通过ctrl+uc查看源码,考虑文件上传漏洞。源码如下图所示:大意是取cookies中lan的值,如果不是0,则执行cookies中名为english的php
攻防世界web(新手模式) fileinclude
最新发布
2401_87832825的博客
10-22 415
所以我们可以用php伪协议写入带有language的cookie读取任意文件。获取语言设置,如果 cookie 不存在,设置默认语言为 "english" 并包含。方法二:通过Burpsuite抓包构造cookie获取flag。我们复制这个数据到base64解码平台解码就得到了flag。然后按回车刷新一下网页就得到了base64格式的数据。可以看见一些提示说flag在flag.php当中。如果 cookie 存在,直接包含。再base64解码即可。我们打开网页源码看一下。这段代码的核心部分为。
攻防世界-fileclude
m0_49025459的博客
12-28 1382
访问题目场景阅读php代码构造payload,这里文件包含的file1使用的是php伪函数进行传输的,file2使用的data://text/plain进行内容的传入。
初涉文件包含之攻防世界-fileinclude-----php伪协议
dhgogogogogogo的博客
10-28 936
对于file2,file_get_contents是将文件中数据提取为字符串的函数,它与inclue()一样参数为文件名,所以直接file2=hello%20ctf行不通,所以用php://input来绕过,再抓包传入flag=hello+ctf
攻防世界—file_include
小缪的博客
06-10 3430
这种漏洞通常存在于代码中,允许攻击者将未经过滤的输入作为参数传递给文件包含函数(如include()、require()等),从而加载恶意脚本或者敏感文件到服务器上,并进一步攻击系统。这种漏洞通常发生在应用程序没有对用户输入进行过滤的情况下,接受用户的输入来指定文件名或者路径,并将其传递给包含函数的时候。2.远程文件包含(RFI):攻击者通过构造一个URL链接,将远程服务器上的恶意脚本地址传递给包含函数,从而导致远程服务器上的脚本被执行。对于指定过滤器的更多信息,请参考该函数的手册页。该过滤器不支持参数,
攻防世界---fileinclude
m0_72447684的博客
10-11 1654
攻防世界---fileinclude
网络安全 | CTF攻防世界 supersqli 解题
等风来
05-27 5182
堆叠注入(stacked injection)是一种SQL注入攻击的技术手段,它会在同一行代码中多次使用已知的SQL注入漏洞,从而达到绕过安全措施、执行恶意代码和窃取数据库信息等目的。堆叠注入攻击利用了SQL语句的连贯性,通过在查询语句中嵌入多个SELECT语句或在UPDATE语句中嵌入多个SET赋值的情况来强行插入额外的恶意代码段。表示注释掉其后面的内容,因此程序会执行两次SQL语句,并忽略掉密码的条件,最终返回敏感数据的行数,从而达到了窃取数据库敏感信息的目的。断开原有语句,再插入新的SQL语句。
网络安全 | CTF攻防世界 shrine 解题
等风来
07-24 5883
进入环境:格式化代码:这段代码创建了一个 Flask 应用对象,并设置了一个名为 FLAG 的配置项,其值来自环境变量。然后定义了两个路由,一个用于返回当前文件的内容,另一个用于渲染 Jinja2 模板。推测flag在名为FLAG的config中,但黑名单过滤了config,通过Jinja2联想SSTI注入在这个程序中,/shrine/ 是定义的路由路径,会匹配到处理该路径的函数。于是构造路径:回显如下:说明SSTI可行在 Flask 中,url_for 函数是定义在 Flask 的全局命名空间中的
攻防世界 -- fileinclude
weixin_48031371的博客
09-14 3748
攻防世界 -- fileinclude
攻防世界-file_include
m0_49025459的博客
12-18 8297
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题。
攻防世界 - Web - Level 1 | file_include
Blue17 の 小窝
12-09 2198
php://filter以及死亡绕过php://filterPHP 提供了一些杂项输入/输出(IO)流,允许访问 PHP 的输入输出流、标准输入输出和错误描述符, 内存中、磁盘备份的临时文件流以及可以操作其他读取写入文件资源的过滤器。该文章介绍了PHP伪协议中的file://和php://协议,以及利用data://协议实现了任意文件读取和命令执行的方法。本题考察的是 PHP 的文件包含漏洞,一般 CTF 的文件包含漏洞考点都是 PHP 伪协议。文件中的,当然不乏改名的。本关考察的 PHP 伪协议是。
攻防世界】file_include
m0_74979597的博客
09-13 3058
这个参数filename,,用户可以通过这个参数找到漏洞;1.当我使用filename=
file_include(攻防世界)
热门推荐
m0_56107268的博客
11-14 1万+
php转化器的学习
攻防世界 fileinclude
qq_73861475的博客
05-20 875
因为变量是用cookie传参的,所以我们构造的playload是关于cookie的,在bp里面将cookie更改为我们构造的,最后就会得到。红线圈出来的就是flag的base64编码值,所以我们要将红线圈出来的值进行base64解码就会得到flag。include函数用php://filter伪协议来绕过。我们可以看这个页面知道flag在flag.php这个文件中,而且还有文件路径为。首先打开题目进入环境,在此之前题目没有太多提示。传参,所以我们要改cookie的值。可以用于读取、写入文件等函数。
攻防世界fileinclude
……
09-13 8119
攻防世界文件包含题目
攻防世界17.fileinclude
weixin_49765221的博客
04-19 1314
php伪协议需要多理解呀
ctfweb攻防世界fileinclude
09-26
提供的引用内容中未涉及CTF Web攻防世界中关于文件包含(fileinclude)的相关内容,不过关于CTF Web中文件包含的一般解题思路和技术要点如下: ### 解题思路 - **识别漏洞**:先查看网站页面的URL参数,若有类似 `?...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值