(超详细)[NSSRound#8 Basic]MyPage

已于 2023-07-29 11:29:55 修改
阅读量527 收藏 4
点赞数 4
分类专栏: CTF Web 文件包含 文章标签: 网络安全 php
于 2023-07-29 11:26:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_74426248/article/details/131992820
版权
文章讲述了在遇到一个Web服务器只显示空白且无法直接读取文件时,如何通过理解PHP的文件包含机制和利用/proc/self/路径来绕过require_once的限制,最终成功读取到flag.php的内容,解密后得到CTF挑战的答案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开之后一片空白,通过改变大小写知道:

Apache/2.4.38 (Debian) Server at node1.anna.nssctf.cn Port 28160

猜测网站根目录可能在/var/www/html下

题目中也没有给提示,所以尝试读取index.php和flag.php文件

//读取文件源码
file=php://filter/read=convert.base64-encode/resource=index.php
显示:空白一片
file=php://filter/read=convert.base64-encode/resource=/var/www/html/index.php
显示:error.
//写入一句话木马
file=php://input
<?php phpinfo();?>
显示:error.

都没有用

猜测是require_once(),尝试绕过它

(require_once(),如果文件已包含,则不会包含,会生成致命错误(E_COMPILE_ERROR)并停止脚本)

搜索绕过方法:

先来了解一下PHP文件包含机制:

php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中,正常情况下,PHP会将用户输入的文件名进行resolve,转换成标准的绝对路径,这个转换的过程会将…/、./、软连接等都进行计算,得到一个最终的路径,再进行包含。如果软连接跳转的次数超过了某一个上限,Linux的lstat函数就会出错,导致PHP计算出的绝对路径就会包含一部分软连接的路径,
最低0.47元/天 解锁文章
NSSCTF刷题篇web部分
weixin_74427106的博客
10-25 1471
这个源码泄露,可以记录一下,涉及的知识点比较多打开环境查看源码,第一段flag乱码,恢复一下剩下的就只说方法第三段flag就在这里,也是乱码恢复扫出来的目录就是第四段和第六段flag第五段在第四段有提示说和苹果有关系发现第四段flag通过搜索发现苹果和DS_store有关系访问/.DS_store得到第五段flag,和起来就是完全的flag。
[NSSRound#8 Basic] MyPage
weixin_68906365的博客
03-11 831
打开后给了一个参数file。尝试使用php伪协议读取index.php的源码,发现无法读取。
[NSSRound#8 Basic]MyPage
m0_73756016的博客
04-02 1366
、./、软连接等都进行计算,得到一个最终的路径,再进行包含。但是,如果软连接跳转的次数超过了某一个上限,Linux的lstat函数就会出错,导致PHP计算出的绝对路径就会包含一部分软连接的路径,也就和原始路径不相同的,即可绕过require_once限制。与其它常见的文件系统不同的是,/proc 是一种伪文件系统(也即虚拟文件系统),存储的是当前内核运行状态的一系列特殊文件,用户可以通过这些文件查看有关系统硬件及当前正在运行进程的信息,甚至可以通过更改其中某些文件来改变内核的运行状态。
NSSROUND#8[Basic]
Aiwin的博客
02-12 1324
NSSROUND#8[Basic]
[NSSRound#8 Basic]MyDoor
m0_70819573的博客
03-05 614
用base64读取index.php的源码,发现可以传参N_S.S进行命令执行,由于php的特性,在后端会被规范成N_S_S。1.打开环境,审计代码,一个file后门。所以用N[S.S传参。
NSSCTF Round#8 Basic
v2ish1yan的博客
02-11 1763
根据出题人的本意是让我们上传一个包,然后去加载那个包,但是我是直接用的别人的exp,而且题目环境也包含exp里需要的文件,所以直接打就行。感觉部分源码和MyDoor是一样的,只是我尝试用伪协议读取index.php的时候没回显,所以猜测应该就是用了include来读取文件。发现可以执行命令,因为php的特性如果执行给N_S.S传参,那么N_S.S在后端会被规范成N_S_S。所以使用N[S.S来使后端得到的参数为N_S.S(具体原因自己去搜吧)之前的字符串的命令,并且是对你上传的文件进行执行的,(猜的)
【Web】NSSRound#1-20 Basic 刷题记录()
uuzeray的博客
04-11 3088
3、之后执行content.innerHTML = data.message.content,发生报错,执行Error.prepareStackTrace,通过 callsite.getFunction()获取当前调用栈的函数,也就56-65这段的匿名函数,再callsite.getFunction()(),让这段匿名函数再次执行。1、插入了img标签,使得56-65这段匿名函数执行停止,去加载img外部引用,因为没有外部引用,所以触发img的error,执行js代码。提供应用的健康信息。
NSSCTF Round#8 web专项赛
qq_61768489的博客
02-13 1463
文件包含
NSSCTF-Web安全入门-wp
网安小菜鸡
01-27 5031
NSSCTF-Web安全入门-wp
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8716
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
防火墙设置实战操作案例(小白的“升级打怪”成长之路)
deeper_wind的博客
06-04 1197
目录一、操作前准备:1、准备4个Rocky8虚拟机2、网络规划防火墙要求虚拟机配置更改网络模式:二、操作前连接测试三、操作成果1、内部网络中的pc1采用SNAT访问外部互联网,但是无法ping到内部网关。2、内部网络服务器s1通过DNAT发布服务到互联网。3、互联网主机pc2能够访问s1区域的服务器,但是不能够进行ping和ssh连接。内部PC1位于内网区域,地址段为: 192.168.1.0/24,pc1地址为:192.168.1.1/24,网关地址为:192.168.1.254/24服务器S1位于服务器
PHP的namespace
duke_ding2的博客
06-05 869
PHP的namespace
pikachu靶场通关笔记15 CSRF关卡01-CSRF(GET)
mooyuan的网络安全博客
06-05 1184
本系列为通过《pikachu靶场通关笔记》的CSRF关卡(共3关)渗透集合,通过对CSRF关卡源码的代码审计找到CSRF安全风险的真实原因,讲解CSRF原理并进行渗透实践,本文为CSRF01关卡XSS之GET关卡的渗透部分。
短剧+小说网盘搜索系统(支持全网网盘转存拉新)
网站系统开发
06-04 258
本文将介绍基于宝塔面板的环境搭建流程。首先从宝塔官网下载安装包,配置PHP7.2、Nginx1.26.3、MySQL5.7.44和phpMyAdmin5.1环境。需要解析两个域名分别用于前端和后端。具体步骤包括:1)新建PHP网站并导入前台资源,修改.env文件;2)新建第二个PHP网站导入后台资源,同样修改.env文件;3)为后台设置thinkphp伪静态规则;4)导入管理系统数据库。后台访问路径为域名/asadmin,默认账号为admin,密码为admin888
windows安装多个版本composer
LuoHuaX的博客
06-03 307
多版本Composer共存配置方案 场景需求:开发中需要同时使用Composer 1.X和2.X版本支持不同项目。 实现步骤: 从官网下载不同版本Composer.phar文件 将文件存放在指定目录并重命名(如composer1.phar/composer2.phar) 创建对应的bat脚本(composer1.bat/composer2.bat)调用不同phar文件 将脚本所在目录加入系统环境变量 通过命令行使用composer1/composer2命令分别调用不同版本 使用方式:在命令后添加版本号,如c
[BJDCTF2020]Easy MD5 1
最新发布
qq_52957703的博客
06-06 583
要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。当然如果只有数字的话,就不需要单引号,比如password=‘xxx’ or 1,那么返回值也是true。,这可能导致一些非预期的行为,甚至引发安全漏洞(如认证绕过、密码校验绕过等)。,等价于 or 一个永真式,因此相当于万能密码,可以绕过md5()函数。
如何搭建Z-Blog PHP版本:详细指南
qq_42572322的博客
06-04 552
首先,访问Z-Blog官方网站下载最新版本的Z-Blog PHP安装包。确保选择与您的服务器环境相匹配的版本。通过以上步骤,你应该能够成功搭建起属于自己的Z-Blog博客平台。记得定期备份数据,并关注官方更新以保持系统的安全性和稳定性。无论是新手还是有一定经验的开发者,都可以利用Z-Blog轻松构建出美观实用的个人博客。如果需要更多资源和支持,爱酷游 是一个不错的起点。
BugKu Web渗透之网站被hei(仅仅是ctf题目名称)
cai_huaer的博客
06-06 619
(其实就是自己选择爆破的位数和爆破的字母和数字,一个个去组合。等了很久,终于爆破出来,密码是hack。3.Payload settings,选择最短的爆破长度 Min length 和最长爆破长度 Max length。比如最短写上4,最长写上6,那么就是爆破长度为4,5,6的密码。如果你需要用数字爆破,那么写上0123456789,如果需要小写字母爆破,就写上26个小写英文字母。shell.php这个页面需要密码,继续查看其他页面,看有没有哪个页面有写出密码的。最后结果查找长度不同的,一般就是爆破成功。
WordPress子主题RiPro-V5van无授权全开源版(源码下载)
软希网分享源码的博客
06-04 331
WordPress子主题RiPro-V5van无授权全开源版
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值