zoukankan      html  css  js  c++  java
  • 实战经验丨CTF中文件包含的技巧总结

    站在巨人的肩头才会看见更远的世界,这是一篇技术牛人对CTF比赛中文件包含的内容总结,主要是对一些包含点的原理和特征进行归纳分析,并结合实际的例子来讲解如何绕过,全面细致,通俗易懂,掌握这个新技能定会让你在CTF路上少走很多弯路,不看真的会后悔!

     

    php伪协议的分类

    伪协议是文件包含的基础,理解伪协议的原理才能更好的利用文件包含漏洞。

    php://input

    php://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。

    使用条件:include( )、include_once( )、file_get_contents( )

    比较特殊的一点,enctype=”multipart/form-data”的时候 php://input 是无效的。

    用法举例:

    • 使用file_get_contents函数的伪协议包含有个经典的例子;
    • 可以使用fputs文件输入流直接服务器某一存在的目录下写入文件。

     

    php://output

    php://output 是一个只写的数据流,允许你以print和echo一样的方式写入到输出缓冲区。

    php://filter(重点)

    php://filter是一种元封装器,设计用于数据流打开时的筛选过滤应用,也就是作为一种过滤器,可以使用在数据流产生的地方。

     

    在php文档中,标准的定义是这样的:

    类似的过滤器还有string.rot13、string.strip_tags、zlib.deflate和zlib.inflate等等,目前只要知道convert.base64-encode就好了。

    URL 中包含点的常见形式

    ?file = xxx 或者 ?file = xxx.php

     

    allow_url_fopen和allow_url_include

    在测试了包含点存在包含漏洞以后,并不是都可以使用filter伪协议包含出源码的,因为allow_url_fopen和allow_url_include会影响到fopen和include等函数对于伪协议的支持。

    allow_url_include影响php://input的使用,若不打开则无法使用。

    当allow_url_fopen打开时,可以包含任意url。

    例如只打开allow_url_include时,只能包含远程文件和使用php://input

    举个例子

    题目链接:http://level3.tasteless.eu/

    题目直接给出了源码:

    根据提示,用php://input 伪协议读取php.ini

     

    找到SERVER["DOCUMENT_ROOT"],也就是网站的根目录,可以找到当前脚本的目录,如下:

    还可以看到一些文件包含的配置:

    • rfi是关闭的,也就是allow_url_fopen为Off;
    • allow_url_include开启,可以使用php://input伪协议来列出当前目录下的文件。

    payload:

     

    绕过 waf 的方法

    字典绕过

    在一些CTF中会对一些伪协议的关键词进行过滤,如read、resource等等,下面总结了几条绕过方法,在实战中作为字典来跑。

    ?f=php://filter/convert.base64-encode/resource=login.php(过滤了操作名read)
    ?f=php://filter/read=convert.base64-encode/resource=1.jpg/resource=./show.php(正则 /resource=*.jpg/i)
    ?f=data:text/plain,<?php phpinfo()?>
    ?file=data:text/plain;base64,PD9waHAgcGhwaW5mbygpPz4=
    

    这里说一下第二条,这是2018 ISCC中的一道题目的绕过方法。

    这里用正则匹配了resource=,我们就可以用重写的方法来绕过正则。

    截断包含

    截断

    这里技巧现在应该是用的比较少了,因为利用截断要满足下面的两个条件:

    • php版本小于5.3.4
    • magic_quotes_gpc为off

    ./ 截断

    点号和路径截断以及./截断,也就是填充大量的./使url长度超过最大值,来达到截断的目的。

    具体可以看下面的文章:

    https://blog.csdn.net/zvall/article/details/8951925 
    

     

    zip协议和phar协议

    在实战过程中,若发现存在文件上传但是没有办法直接上传php文件,可以传zip压缩文件,我们就利用这两个协议,将php文件打包成zip文件来包含里面的php脚本。

    phar://、zip://,都可以看到在phpinfo中有相应的描述。

    例如脚本文件为1.php,打包成1.zip,然后再改名为1.jpg,上传之后包含1.jpg中的php文件即可。

    zip://..(当前脚本的绝对路径).../1.jpg#1.php
    phar://...(当前脚本的绝对路径).../1.jpg/1(分割不加后缀名)
  • 相关阅读:
    SecureCRT:保存输出日志的方法
    中文数字转阿拉伯数字
    XP 安装Oralce 10g 数据库
    SQL语句处理一些修改、新增、删除、修改属性操作(MySql)
    SpringBoot整合Shiro完成认证
    SpringBoot 集成Shiro之使用Redis缓存授权认证信息
    解决Establishing SSL connection without server‘s identity verification is not recommended.
    操作系统的内存笔记
    Shiro的认证与授权
    详解 TCP的三次握手四次挥手
  • 原文地址:https://www.cnblogs.com/ichunqiu/p/10683379.html
Copyright © 2011-2022 走看看