“百度杯”CTF比赛 2017 二月场 include

本文详细解析了如何利用PHP文件包含漏洞进行攻击,通过实际案例展示了如何使用php://input绕过限制,获取目标服务器上的文件列表,并最终找到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目
题目说的很明确, 直接告诉说是文件包含漏洞, 看了下分值感觉应该没有什么套路, 打开容器, 具体题目如下
代码
确实很简单, 感觉php://filter/read=convert.base64-encode/resource=一把梭就能搞定

然而我马上发现我错了, 我并不知道flag所在的文件名, 尝试flag.phpflag.txt都是没有卵用的,


然后就没思路了, 只好虚心的去看其他师傅写的wp,

发现原来可以用一把梭的兄弟: php://input,

不过老实说, 我用这个兄弟很久了, 都没想过可以用它绕过,
不过说白了还是脑子转不过弯, 一把梭都行的东西, 换成它的兄弟又何尝不可?

不过还是要标注一下, 这个小兄弟是表示我们提交的POST数据, 就是除去Header的那部分.

想了下还是举个例子

比如我提交了一个POST数据为a=123的请求, 那么php取得php://input的内容就为a=123
举例子
同理, 随便请求数据的时候, 它就只会取得原来请求的那个文本, 并不会因为是json或者是key=value形式的数据而变成数组或者对象.

讲到这里, 或许你会发现, 这个小兄弟不就相当于一个文件路径,
include或者file_get_contents的时候, php就会去读取这个「文件」的内容


然后我们接着解这题,
php要include$_REQUEST.path的值, 那我们就把php://input传给它, 然后把POST数据改为php代码,
这样它就会去执行这些php代码了不是?

因为这些容器一般用的都是linux系统, 所以我们可以试着用system配合ls获取下当前网站目录下的文件列表

使用chrome的hackbar
嗯, 这边要先加个小插曲,

一开始在Chrome下用HackBar插件的我, 以为是方法不行, 所以没成功,
然而, 在看了几个师傅的wp, 加上我用抓包软件测试, 再联想到以前插件是正常工作的, 但是这两天Chrome自动更新到78后,

所以我得出一个结论, Chrome吃相难看.

  • 啊逗比说明年要停止Flash后, Chrome迫不及待的把Flash开关给隐藏的更深了,
    你在访问相关网站的时候, 只能先点网站设置才能看到相关设置, 设置后才会在原来那把破锁头下出现flash设置开关, 而且呢, 你还是得再开一次
  • 总是没有告知用户而做自动更新, 当然, 首先是因为我刚好能连得上他们的服务器, 如果你不更新或者因为网络问题而总是连不上他们的服务器, 那么不好意思, 过段时间, 右上角就会出现引人注目的红色升级按钮逼死强迫症, 可你又「连不上」他们的破服务器不是吗?
  • 而且不更新的时候, 总是会莫名奇妙的突然访问不了一些网站, 或者网站总有这样那样的问题, 但是一更新, 就什么毛病都好了(?)

也许你会说, Chrome是开源的, 可是, 你怎么能保证它开源的代码与他们打包后发给用户的程序之间, 一定没有做什么手脚呢?


不提这个了, 想到乌鸦真的扎心.

总之, 现在我是用抓包软件提交了数据
Fiddler
好在这题没有对函数做什么限制, 所以我们很轻松的就拿到了当前目录下的文件列表,

可以看到, 目录下有个奇怪的dle345aae.php,

我们再用cat获取下文件内容, 于是flag就出来了
cat
细心的你也许发现容器链接变了,
那是因为水的太长时间, 导致环境超时失效, 只好重新创建hhh

也许你会说为什么不用一把梭,
但只要你仔细想想就能明白,
能直接搞定的事, 为什么要套一层base64编码不是?


不过派小兄弟上场也是有条件的, 那就是PHP的设置allow_url_includeon,

好在这道题给了个phpinfo, 让我们可以直接看到php的相关设置, 于是Ctrl + F开启搜索大法.
allow_url_include
这几天刷了几道题下了, 感觉就是修行不够, 连简单题都水不出来, 果然革命尚未结束呢.

不过这样写wp确实很累, 但是为了避免哪天突然自暴自弃, 等后面想努力的时候看不懂, 还是坚持一下把.

最后, 接着吐槽csdn的神经病审核机制, (虽然我个人说明已经说不吐槽了, 但是一吐为快)

也不知道我这人哪有毛病, 别人和我说他的文章从来都不用审核就发出去了, 所以这是欺负我老实人?

好气啊, 可是我也懒得经营另一个博客, 想想写完md还要生成静态网页就麻烦,
虽然也支持自动部署就是了, 不过嘛, 我毕竟就一懒人, 能少动手就少动手,
等哪天看到比csdn更舒适的平台就撤, 反正挖坑再弃坑也不是一次两次了, 我也不是什么大佬, 粉丝或者用户? 不存在的.

审核员你把我这当做一个毫无卵用的威胁就成, 反正用户(体验)至下

吐槽完真舒服, 撤了, 估计明天起来就会发现我号没了hh
在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值