- 1[译]A guide to deep learning in healthcare 深度学习在医疗健康领域的应用概述--nature论文_deep learning in healthcare:
- 2产品经理内容分享(十四):产品经理必背面试题(四)
- 3SpringCloud入门(微服务调用 OpenFeign)——从RestTemplate到OpenFeign & OpenFeign的相关配置 & 源码的分析和请求流程拆解_openfeign调用
- 4探究flask中的celery后台任务_flask_celeryext
- 5文献调研-无人机多光谱遥感测果园产量
- 6c#常用的数据存储分析_c# 根据数据库数据分析
- 7路由器重温——接口配置与管理1_01:80:c2:00:00:01
- 8【数据结构】顺序表和单链表的定义与一些基本操作_顺序表和单链表的类型声明
- 9代码随想录算法训练营第33天| Leetcode1005.K次取反后最大化的数组和、134. 加油站、135. 分发糖果
- 10docker ruoyi 部署
靶场训练笔记-ctf训练营WEB方向第一章新手村1第6题:ezinclude_ez_include
赞
踩
题目分析:
源码分析:
打开这道题目的网站,页面如下:
发现它直接把网站的源代码给了出来,接下来对源码进行分析:
highlight_file(__FILE__);
这个函数用于将当前脚本的源代码进行高亮显示,并将其输出到浏览器。__FILE__ 是 PHP 预定义常量,表示当前脚本的文件名。
error_reporting(0);
这个函数用于设置 PHP 的错误报告级别。在这里,将错误报告级别设置为 0,意味着禁用错误报告。
/*flag in flag.php*/
这是一串注释,也就是告诉我们目标flag在flag.php这个文件里,那么我们的目标确定,就是想办法读取到flag.php文件的内容。
if (!isset($_POST['abc'])) die('i am abc, post it damn you');
首先涉及到了die函数,经过查询die函数的意思就是输出die()中包含的字符串并结束程序的执行.
isset在php中用来判断变量是否声明,该函数返回布尔类型的值,即true/false。
这是一个条件语句,提到了一个POST参数abc,用于检查是否声明了名为 "abc" 的 POST 参数【即是否对abc进行赋值】。如果不存在,那么输出字符串 "i am abc, post it damn you" 并终止脚本的执行。
if (strpos($_POST['abc'],"http")) die('fxck ur rf1 out of shit');
这是另一个条件语句,用于检查名为 "abc" 的 POST 请求参数中是否包含字符串 "http"。如果包含,那么输出字符串 "fxck ur rf1 out of shit" 并终止脚本的执行。
这里解释一下为什么if(strpos($_POST['abc'],"http"))是检查abc的值【字符串】中是否有字符串“http”:
strpos() 函数用于返回第二个字符串在第一个字符串中第一次出现的位置。如果存在,返回数字,如果没有找到该字符串,则返回false。如果abc的字符串值中有"http" strpos($_POST['abc'],"http")返回的值就会是一个数字,而if(数字)只要数字不是0就等于True,因此这串函数可用于检查abc中是否有http
if (strpos($_POST['abc'],"hello123")) die('i am abc! you fxcking hacker');
这是第三个条件语句,用于检查名为 "abc" 的 POST 请求参数中是否包含字符串 "hello123"。如果包含,那么输出字符串 "i am abc! you fxcking hacker" 并终止脚本的执行。
这里有一个问题搞不清楚:按道理来说如果我们给abc传入的值是hello123,那么strpos("hello123","hello123")等于0,而if(0)的值等于False,是不执行这个语句,可是实际测试这道题时if(strpos($_POST['abc'],"hello123"))给abc以post方式直接传值hello123却会触发这条语句,不知道为什么
if (file_get_contents($_POST['abc']) != 'hello123' ) die('file get contents! FILE! GET! CONTENTS!');
这是第四个条件语句,用于检查名为 "abc" 的 POST 请求参数所表示的文件内容是否等于字符串 "hello123"。如果不等于,那么输出字符串 "file get contents! FILE! GET! CONTENTS!" 并终止脚本的执行。
这里涉及到了file_get_contents()函数,file_get_contents() 函数是用于将文件的内容读入到一个字符串中,即把文件内容按照字符串格式输出。
include($_POST['file']);
这串代码提到了一个新的POST参数file,把file的值所指定的文件中的代码进行执行。
file是由我们自己定义,我们可以通过伪协议里的php://协议直接输出flag.php文件的内容
这里include函数不影响php://协议,也就是说假如我们通过php://格式给file赋值,php://协议会直接在网站上输出源码的内容,而之后include函数能不能成功执行都无所谓(因为file不像abc对值有过滤【4个if条件】,没有类似于die函数对file的值进行过滤)
include()函数包含并执行指定文件,如果include所包含的东西里有php代码,你访问的话,它不会显示出php代码是什么,它会直接把这个php代码给执行了。
抓包分析:
然后抓取当前网站的数据包,图片如下:
发现当前网站默认的提交方式是GET方式
思路总结:
为了获取到flag,我们结合上面的题目分析,得出了以下思路:
1.把数据包的提交方式从GET方式改为POST方式
2.对abc进行赋值【绕过条件1】,对值进行一定的修改来绕过条件2,3,4
这里可以用到伪协议的data://协议,比如让abc=data://text/plain;base64,aGVsbG8xMjM=
将hello123进行base64编码后得到aGVsbG8xMjM=,而这里base64,aGVsbG8xMjM=相当于一串命令,是把aGVsbG8xMjM=进行base64解码
strpos函数检测的就是strpos(aGVsbG8xMjM=,“hello123”),绕过条件3;
而file_get_contents($_POST['abc'])又等于hello123
以上有不理解的部分可以看附件一,里面是chatgpt的解释
3.对file赋值为php://filter/convert.base64-encode/resource=flag.php,通过伪协议读取flag.php
php://filter/convert.base64-encode/resource=文件名 是标准读取文件源码的格式
上面是对php://filter 读取源代码并进行base64编码输出,如果直接引用php://filter会直接当做php代码执行就看不到源代码内容了。
开始操作:
1.首先打开网站,通过burpsuite进行抓包,图片如下:
2. 然后通过burpsuite自带功能改变提交方式为post:
右击-Change request method
图片如下:
3. 改变后结果如下:
4. 对file和abc进行赋值: abc=data://text/plain;base64,aGVsbG8xMjM=&file=php://filter/convert.base64-encode/resource=flag.php
注意区分请求头和请求体:post方式提交参数需要在请求体进行赋值,区分请求头与请求体的方式是加一行回车
图片如下:
5. 提交数据包,成功读取到经过base64编码加密后的flag.php中的文件内容flag
照片如下:
6. 对这串flag进行base64解码,解码结果如下
<?php
$flag = "flag{pHp_f1lter_123s_d4ngr0us}";
7.得到flag:
flag{pHp_f1lter_123s_d4ngr0us}
附件一
