ctfshow web入门29-39 78-81 文件包含与简单命令执行

最新推荐文章于 2024-12-23 23:23:16 发布
最新推荐文章于 2024-12-23 23:23:16 发布
阅读量616 收藏 12
点赞数 18
分类专栏: ctfshow 文章标签: web web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Takagiapa/article/details/143188803
版权

文件包含和命令执行挑着写,学习并记录

web33到39大部分都是文件包含的内容。

文件包含函数漏洞:

1.require(),找不到被包含的文件时会产生致命错误,并停止脚本运行。

2.include(),找不到被包含的文件时只会产生警告,脚本将继续运行

3.file

文件包含伪协议:

file:// [文件的绝对路径和文件名]


php://filter 读取源代码并进行base64编码输出,不然会直接当做php代码执行就看不到源代码内容了
php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。


zip:// 可以访问压缩包里面的文件。当它与包含函数结合时,zip://流会被当作php文件执行。从而实现任意代码执行


data:// 同样类似与php://input,可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行。从而导致任意代码执行。

data://text/plain/,<?php ‘代码’?>

命令执行

web29

eval()函数里面的值会被当作代码执行

很简单的命令执行

先看看文件

既然flag被源代码过滤了,那么就要去过滤一下flag

得到flag

web30

题目过滤了system,这里用到另一个命令执行函数passthru()

然后和上一题一样就行

web31

知其然,要知其所以然,过滤的这些到底是些什么姿势,我觉得有必要好好讲清楚

首先,flag,system,php,cat就不讲了

sort是一个文件排序函数,用于替换cat。

shell则是过滤了命令执行函数shell_exec();

过滤了空格,用%09代替,可以直接用echo解出来。当然上面的passthru()也没有过滤,也可以用,不过这里再介绍别的解法

再没有过滤eval()和引号的时候,再构造一个b是很不错的选择

web32

把;过滤了,这下虽然没过滤passthru,但是没有;也不能执行passthru的命令。

但是include函数并没有涵括进去,同时也不需要. ' ` ; (

不过include函数需要一点文件包含的知识,上面也给出了伪协议的用法啦,心动不如行动

?c=include&_GET[1]?>&1=data://text/plain,<?php systtem("tac fla*");?>

web33

好像过滤了一个“用上一题的方法也完全ok,不过记录的话就不写相同的方法了。

?c=require$_GET[123]?>&123=data://text/plain,<?php%20system("tac%20fla*");?>


web34~36

一直用那两个文件包含的pyload就行,这里就不浪费时间了(别的方法的话可以试试不用data伪协议,用用php://input,php:filter)36题把数字ban了,就换成a,不用加引号。

web37

换题目了,不过还是include,就当是为了flag,对它使用伪协议吧

c=data://text/plain,<?php%20system("tac%20fla*");?>

 web38

多过滤了php和file,其实就是过滤了file协议

(用法是php://filter/read=convert.base64-encode/resource=flag.php)转化成base64就运行不了了,就可以输出出来。

这道题没过滤掉我最爱的data,继续使用data吧

web39

39少了过滤,不过后面加了一个.php,其实也不影响,因为include只会读取<?php ?>里的东西。

所以,还是对他使用data吧

文件包含

web78

文件包含,先用data伪协议看看flag在哪

?file=data://text/plain,<?php system('ls');?>

接下来就简单了,可以用php://filter协议输出flag.php的base64编码,下面给出原理

?file=php://filter/read=convert.base64-encode/resource=flag.php

include函数,这个表示从外部引入php文件并执行,如果执行不成功,就返回文件的源码。

而include的内容是由用户控制的,所以通过我们传递的file参数,是include()函数引入了index.php的base64编码格式,因为是base64编码格式,所以执行不成功,返回源码,所以我们得到了源码的base64格式

web79

其实很简单,原码中就是把php换成???了,大小写绕过就行

这里就换了一种方法

web80

这道题同时过滤了php和data

php仍可以大小写绕过。data被ban了,那就直接不用了被,用Php://input加post构造<?Php system("ls");?>查看一下文件

(我的HackBar总是post不上去,用来Max HackBar才可以,不过平常还是Hack bar好用)

文件名改了一下,然后继续构造<?Php tac fl0g*?>

web81

看题目发现为协议几乎都被绕过了,但是还可以通过日志注入木马getshell

日志文件(access.log)可以记录我们所有在服务器上的操作记录,我们可以通过再url后构造一句话木马(需要抓包后改,直接传的话会被url编码)也可以在UA(user-agent)输入木马(Hacker Bar就行)

日志文件路径为/var/log/nginx/access.log

其实这里就已经解决了,前面都看了的话,应该知道这里该怎么继续构造pyload了

(其实很离谱,这道题我自己一直没写出来,一模一样的pyload我电脑上就是会报错)

CTFshow 文件包含 web81
Kradress的博客
12-08 375
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 15:51:31 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])){
ctfshow-web入门-文件包含web78web79、web80、web81
m0_67403143的博客
12-23 803
中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。此外我们也可以使用 data:// 协议进行代码执行,其实和 php://input 是一样的,让用户可以控制输入流,当它文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。的 base64 编码,也可以实现绕过。
ctfshow-web80、81
m0_73590931的博客
08-11 617
然后,代码使用str_replace()函数对file变量进行两次替换操作。第一次替换将file中的php字符串替换为?,第二次替换将file中的data字符串替换为?首先,代码使用isset()函数检查是否存在名为'file'的GET参数。发现刚刚一样都是user-agent,那还是在user-agent中插入一句话木马,后续做法web80一样。最后,代码使用include()函数来包含$file变量所代表的文件。意思是将file中的:字符串替换为?看网页信息,发现是nginx服务器。
ctfshow 日志包含Web80-81
m0_62584974的博客
04-16 6404
2022/4/16 题目过滤了php和data,我们这次要用日志文件包含 先抓包 nginx日志的默认路径为/var/log/nginx. ssh日志的默认路径为/var/log/auth.log SSH服务如果开启了日志记录功能,会将SSH的连接日志记录到SSH日志文件中(题目是nginx日志)日志文件包含的漏洞的利用条件是:日志路径已知,并且有可读权限。日志文件的默认路径为上述 现在要将恶意代码写入日志文件 /?file=/var/log/nginx/access.log &
ctfshow 文件包含web78-web81)
m0_62274649的博客
12-16 302
这个题可以用日志包含来做,apache的日志一般是/var/log/apache/access.log。nginx的日志在/var/log/nginx/access.logstep1:把一句话木马加到U-A头里:
CTFshow文件包含web78-web81
weixin_51614272的博客
02-25 5093
文件包含web78-web81web78web79php://input伪协议data协议web80php://input伪协议日志包含绕过web81web82(没完全理解) web78 if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 看到源码中的include函数,这个表示从外部引入php文件并执行,如果执行不成功,就返回文件的
ctfshow-web入门-文件包含web82-web86)条件竞争实现session会话文件包含
最新发布
web13093320398的博客
12-23 1138
file_get_contents 函数将会读取文件的全部内容并将其作为字符串返回,strpos($content, “
CTFSHOW命令执行web入门29-54
m0_73605862的博客
02-09 2118
这里就记录一下ctfshow的刷题记录是web入门命令执行专题里面的题目,他是有分类,并且覆盖也很广泛,所以就通过刷这个来,不过里面有一些脚本的题目发现我自己根本不会笑死。如果还不怎么知道写题的话,可以去看我的gitbook,当然csdn我也转载了我自己的文章。如果你能去我的github为我的gitbook项目点亮星星或者follow me 那我将更开心。并且github和gitbook里面更详细,有更多关于web安全方面的知识,观感也会更好o。
[ctfshow]web入门——命令执行web118-web122+web124)
ShenZ的博客
02-28 4087
[ctfshow]web入门——命令执行 文章目录[ctfshow]web入门——命令执行web118web119web120web121web122web124 web118 源码里有提示 非法输入会有evil input fuzz一下发现可以用大写字母A-Z和${}~.?: # echo ${PWD} /root # echo ${PWD:0:1} #表示从0下标开始的第一个字符 / # echo ${PWD:~0:1} #从结尾开始往前的第一个字符
ctfshow+web入门文件包含
m0_59448417的博客
04-13 781
ctfshow+web入门文件包含
ctfshow文件包含web78~81
m0_74312676的博客
11-01 1514
这里要将php改为大写的,但是上面的input协议就不用,这是因为我们的参数file是通过get方式传参的,str_replace函数检查也只是检查get方式传入的值,input协议中的php是通过post方式传参的,因此不用改,data协议的php是get方式传入的,于是需要大小写绕过。可以看到在上一道题的基础上,增加了对php字符串的过滤,但是值得注意的是,过滤是区分了大小写的,这就意味着,可以使用大小写绕过,但是这里的大小写绕过对input和data协议有用,对filter协议没有用。
ctf文件包含
2401_87493916的博客
12-20 1226
⽂件包含,通过PHP函数引⼊⽂件时,传⼊的⽂件名没有经过合理的验证,从⽽操作 了预想之外的⽂件,就可能导致意外的⽂件泄漏甚⾄恶意代码注⼊。产⽣的条件: 常⻅的包含,在之前做命令执⾏的时候也已经⽤过了 include() require() include_once() require_once() 此外,常⽤的还有之前在web37写的伪协议,这⾥再复制过来。
ctfshow web80-88
weixin_58519918的博客
04-19 3907
web(80) 构建/?file=Php://input post: <?php system("tac fl0g.php")?>【php://input可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。】 因为我在网上看大部分都使用burp来解决这个题目,然后我的burp他在虚拟机里面一直没有落实在本机
CTFshow web 入门 web78------web81 文件包含wp
2202_75289892的博客
08-01 882
php代码?分析代码,repalce函数将输入值中的php替换成?,可见此处php被过滤。2.得到以上文件,可知我们需要访问flag.php文件。上一题的该方法无法得到flag,会被替换成?最后右键查看源代码,得到flag。文件包含类型,并且没有任何过滤。那么考虑对php代码进行编码。system()用法如上图。查看源代码得到flag。
ctfshow web入门文件包含web78-81
m0_62207170的博客
04-16 228
ctfshow web入门文件包含web78-81
ctfshow web入门 文件包含:web78-web81 web88 web116 web117
rawrecruit的博客
04-14 7680
个人ctfshow刷题记录
CTFshow-Web入门》09. Web 81~90
学习学习学习......
09-01 2273
include() 利用,一句话木马之 Nginx 日志利用、条件竞争写入木马、file_put_contents() 利用,伪协议(php://filter/)、伪协议(data://)、PHP 特性之 intval()。
ctfshow web入门命令执行
09-05
在CTF中,web入门命令执行指的是通过Web应用程序的漏洞,将恶意的命令注入到应用程序中并执行。这样的攻击可以导致未经授权的访问和操纵应用程序的数据和功能。 根据引用中提供的信息,可以看到一些常见的双写绕过技巧,如分号、竖线、双号等。这些技巧可以用来绕过应用程序对输入参数的限制,从而注入恶意的命令。 引用中提到的payload,其中使用了一个通用的命令执行函数"show_source"来显示指定文件的源代码。这个payload可以用来尝试执行"flag.php"文件的源代码。但前提是要知道有一个名为"flag.php"的文件存在。 另外,引用中提供了另一种payload的示例,其中使用了array_reverse和scandir函数来获取文件目录并显示指定文件的源代码。同样,也可以直接使用show_source(&#39;flag.php&#39;)来显示"flag.php"文件的源代码。 需要注意的是,命令执行漏洞是非常危险的,因为它可以导致恶意用户执行任意的系统命令。为了保护Web应用程序免受此类攻击,开发人员应该对用户的输入进行严格的验证和过滤,并使用安全的编程实践来防止命令注入漏洞的发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow web入门命令执行](https://blog.youkuaiyun.com/uuzfumo/article/details/128357863)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [CTFShow Web入门 命令执行](https://blog.youkuaiyun.com/qq_19533763/article/details/123910732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值