Rce

文件包含

靶場(chǎng)環(huán)境

重點(diǎn)是這個(gè)代碼，strpos，格式是這樣的strpoc（1，2，3）

1是要搜索的字符串，必須有；2是要查詢的字符串，必須有；3是在何處開始查詢，可無(wú)；

而在語(yǔ)句里面有一個(gè)感嘆號(hào)，意思就是不的意思

在沒有感嘆號(hào)的時(shí)候接受get的file的值，值跟flag無(wú)關(guān)，就觸發(fā)else的語(yǔ)句

但這里有一個(gè)感嘆號(hào)在前面就表示為跟flag無(wú)關(guān)，就不會(huì)觸發(fā)，會(huì)執(zhí)行下面的include，執(zhí)行文件內(nèi)容。

php://input

這里定死了file前六個(gè)字母必須是php://

這里php://inout可以把post提交的數(shù)據(jù)當(dāng)作php代碼執(zhí)行，但是這個(gè)要看phpinfp配置文件有沒有開啟，就打開下面的phpinfo

這兩個(gè)配置文件是開啟的就可以

然后直接get提交，？file=php://input

然后burp抓包

在下面加上以post格式提交的參數(shù)，這里執(zhí)行了ls /查看文件，左邊顯示文件。

讀取源代碼

這個(gè)名字蟻劍給了就是flag，然后就是如何讀取倒，input不能用，但是還有fliter

這樣用，看一下實(shí)例

# 明文讀取

index.php?file1=php://filter/resource=flag.php

# 明文寫入

index.php?file2=php://filter/resource=test.txt&txt=helloworld

然后編造出flag的

查看falg就行。

命令注入

打開靶場(chǎng)，這個(gè)題目，運(yùn)用到管道符，一起跟著執(zhí)行了。

這樣就可以查看到目錄

之后再去找flag就行了

執(zhí)行，查看網(wǎng)頁(yè)源代碼

就找到flag了

過(guò)濾cat，就用less

過(guò)濾空格就寫成127.0.0.1|cat<falg

過(guò)濾目錄分隔號(hào)

過(guò)濾/。用cd 過(guò)濾?

比如ls完，cd到指定目錄下，在執(zhí)行l(wèi)s

這種，然后在繼續(xù)，后門把ls換成cat讀取flag就可以了

這題過(guò)濾很多東西/(\||&|;|?|\/|cat|flag|ctfhub)；

窗體頂端

這就要測(cè)試一下沒有過(guò)濾什么字符

這個(gè)%0a還能用

就用它查看

查看到之后，看見了flag放在那里，但是有flag過(guò)濾

這里用到tab補(bǔ)全，url編碼

?ip=127.0.0.1%0als%09*here#

補(bǔ)全名字

之后在查看它就可以了

先來(lái)到此目錄下，因?yàn)閏at過(guò)濾了所以用less查看

?ip=127.0.0.1%0acd%09*here%0aless%09*_88982229331151.php#

也用到了補(bǔ)全

ssrf

Web 目錄

Ssrf漏洞就是可以看到內(nèi)網(wǎng)的信息，需要用到一些偽協(xié)議http://192.168.64.144/phpmyadmin/

file:///D:/www.txt ??直接訪問(wèn)本機(jī)www.txt文件內(nèi)容

dict://192.168.64.144:3306/info ???探針端口號(hào)開發(fā)情況，

ftp://192.168.64.144:21 ???探針對(duì)方ftp是否開放，這個(gè)是跟設(shè)置有關(guān)的的，有的直接訪問(wèn)c盤，或者別的，還有要登陸的

這個(gè)就用到了可file:///

查看源代碼就有了。

端口掃描

直接訪問(wèn)網(wǎng)頁(yè)帶上http://127.0.0.1:8000

然后burp抓包

設(shè)置好遞增數(shù)值到9000開始爆破

文件上傳

這里自己創(chuàng)建一個(gè)提交按鈕

然后burp抓住提交的數(shù)據(jù)包

這個(gè)肯定還要利用godher協(xié)議繞過(guò)

把burp抓到提交數(shù)據(jù)包，拿去url編碼兩次

這個(gè)url編碼屬實(shí)香到我了

然后就構(gòu)造一個(gè)get請(qǐng)求的數(shù)據(jù)包，隨便都可以

之后加上127.0.0.1/?url=127.0.0.1:80/_編碼的好的pyload

FastCGI協(xié)議

這個(gè)直接用工具生成pyload，Gopherus腳本

Redis協(xié)議

利用工具生成，還是同一個(gè)工具，選擇redis

生成一個(gè)后門

在哪去url編譯一下

然后直接放到靶場(chǎng)

504表示已經(jīng)上傳成功了，蟻劍連接

URL Bypass

這個(gè)打開網(wǎng)頁(yè)就說(shuō)必須有http://notfound.ctfhub.com

們可以使用HTTP 基本身份認(rèn)證繞過(guò)：

????????HTTP 基本身份認(rèn)證允許 Web 瀏覽器或其他客戶端程序在請(qǐng)求時(shí)提供用戶名和口令形式的身份憑證的一種登錄驗(yàn)證方式。

????????也就是：http://www.xxx.com@www.yyy.com形式

Pyload ???????http://notfound.ctfhub.com@127.0.0.1/flag.php,猜的flag就在這個(gè)目錄

數(shù)字IP Bypass

這一題過(guò)濾了十進(jìn)制，把ip127.0.0.1換成八進(jìn)制和十六進(jìn)制都可以

302跳轉(zhuǎn) Bypass

這個(gè)訪問(wèn)127.0.0.1/flag.php訪問(wèn)不了，那就訪問(wèn)index.php查看源代碼

過(guò)濾了127|172|10|192?

發(fā)現(xiàn)沒有過(guò)濾localhost（本地服務(wù)器）

DNS重綁定 Bypass

跟名字一樣用重定向

網(wǎng)頁(yè)

??????rbndr.us dns rebinding service

目錄遍歷

Git泄露，

log

打開靶場(chǎng)之后，直接復(fù)制靶場(chǎng)進(jìn)行目錄掃描

確定他有g(shù)it泄露，直接利用工具

添加了就對(duì)比添加和刪除的數(shù)據(jù)

文件上傳

.htaccess文件

這一題對(duì)面是黑名單攔截，可以上傳一個(gè).htaccess文件，而我們只要在上傳的.htaccess文件內(nèi)寫入

SetHandler?application/x-httpd-php

這個(gè)東西。把所有格式轉(zhuǎn)換為php格式

然后上傳一個(gè)含有一句話木馬的圖片，再去連接他

就可以了。

%00截?cái)?/p>

打開靶場(chǎng)，選擇好后門文件上傳

開burp抓包修改