攻防世界 - (题目名称-文件包含)
我会在 writeup 中写出我在解决这道题时遇到的问题,以及对问题的思考,而不是直接给出 payload。
进入场景:
显然是考文件包含,第一反应是用 php://filter 加 convert.base64-encode 文件读取 flag.php:
提示 "do not hack!" 猜测是黑名单检测敏感字符串。所以,接下来 fuzz 有哪些字符串被禁用,这里可以直接输入单个字符串:
输入 "base64",仍然提示"do not hack!"
输入 “convert”,没有提示 "do not hack!"。通过这两步,可以推测 "base64" 字符串在黑名单里。经过调试,"base64"、"string"、"read" 等都在黑名单里。
到了这一步,我想的是测试能不能用 data://(涉及 php.in 的 allow_url_include 配置)。
如果成功的话,应该返回 "aaaa"。这里没有,显然没有开启 allow_url_include。
接下来就是考虑 php://filter 有没有其他过滤器可以用。bing 搜索一下"php://filter 过滤":
在这篇文章中,注意到一个 "convert.iconv" 过滤器:
convert.iconv 相当于用了 iconv() 函数,这个函数我记得是转换数据的字符集,比如 iconv("ASCII", "UTF-8", $string),也就是说只转换数据的表现形式,我拿到数据之后,再把它的字符集转回来就行了。上图标注的第二个地方还展示了 convert.iconv 的用法,直接拿来试试:
不行。不过,还有很多字符集可以尝试:
UCS-4*
UCS-4BE
UCS-4LE*
UCS-2
UCS-2BE
UCS-2LE
UTF-32*
UTF-32BE*
UTF-32LE*
UTF-16*
UTF-16BE*
UTF-16LE*
UTF-7
UTF7-IMAP
UTF-8*
ASCII*不知道哪些可以绕过,直接用 burpsuite 爆破吧。burpsuite 的暴力破解 intruder 模块有个“cluster bomb” (集束炸弹)模式,可以把上面所有的 16 个字符集格式做一个笛卡尔积,生成 256(16 *16)个请求。
设置位置 1 和位置 2 使用的字典,都是同一个:
开始攻击。在结果里面发现 flag:
攻防世界 - (题目名称-文件包含)相关推荐
- php 字符串截取_网络安全WEB之PHP代码审计,攻防世界题目warmup
预备知识: 文件包含相关知识:include 'xxx', 所包含的xxx文件会当作PHP代码执行. include 'xxx/../123.php'# PHP中默认和 include './xxx/ ...
- 攻防世界题目练习--MISC新手关(1~6)
练习地址:https://adworld.xctf.org.cn/ 题目1:this_is_flag 题目描述:Most flags are in the form flag{xxx}, for ex ...
- 攻防世界 MISC新手练习区 刷12道题题所得的思路和方法
title: 攻防世界 MISC新手练习区 date: 22021年8月17日 10点31分 tags: MISC categories: MISC 1.攻防世界 this_is_flag(签到题) ...
- 【愚公系列】2021年11月 攻防世界-进阶题-MISC-030(red_green)
文章目录 一.red_green 二.答题步骤 1.zsteg 总结 一.red_green 文件:攻防世界下载对应文件 二.答题步骤 1.zsteg 下载得到一张图片 解法一:pytho脚本 #生成 ...
- 攻防世界 stage1讲解
这道题和之前的一道题类似,就对了个对二维码的反色处理 适合作为桌面 攻防世界题目解法_Dadeln.的博客-CSDN博客 打开附件为 直接stegsolve查看图片不同通道· 把这张照片保存下来,发现 ...
- 攻防世界密码学 浅尝
2021-3-23 学习下密码学,以攻防世界题目为例 第一题: 题目叫做base64: Y3liZXJwZWFjZXtXZWxjb21lX3RvX25ld19Xb3JsZCF9 直接解密为 cyber ...
- 【愚公系列】2021年11月 攻防世界-进阶题-MISC-025(Miscellaneous-200)
文章目录 一.Miscellaneous-200 二.答题步骤 1.python 总结 一.Miscellaneous-200 文件:攻防世界下载对应文件 二.答题步骤 1.python 下载附件得到 ...
- 【愚公系列】2021年11月 攻防世界-进阶题-MISC-032(就在其中)
文章目录 一.就在其中 二.答题步骤 1.ssl 总结 一.就在其中 文件:攻防世界下载对应文件 二.答题步骤 1.ssl 下载附件得到流量包,使用 binwalk 查看文件中有些什么,发现一个 ke ...
- 【愚公系列】2021年11月 攻防世界-进阶题-MISC-007(Aesop_secret)
文章目录 一.Aesop_secret 二.答题步骤 1.stegsolve 2.AES解密 总结 一.Aesop_secret 文件:攻防世界下载对应文件 二.答题步骤 1.stegsolve 使用 ...
最新文章
- 中国矿业大学计算机学院机房,2020年中国矿业大学计算机学院初试自命题科目考试大纲-数据结构...
- NYOJ--811--变态最大值
- iis7 php oracle,PHP+IIS7配置OCI8链接Oracle 10G的方法
- 深入剖析RocketMQ源码-NameServer
- Centos安装g++错误 :No package g++ available
- C语言指出下列程序的错误,2012年计算机二级C语言精编教程第二章(8)
- RabbitMQ消息队列-Centos7下安装RabbitMQ3.6.1
- JZOJ 5107. 【GDSOI2017】 中学生数据结构题
- 单线程任务 Task.Factory.StartNew 封装
- android 内部类传值,Android Studio中,从内部类
- apache2 php mysql_二、Linux服务器apache2+PHP7+mysql环境配置
- 现在更新鸿蒙会成为小白鼠吗,如果荣耀Magic3搭载了屏下镜头和鸿蒙系统,你会做第一批吗?...
- JAVA中BigDecimal的字符化输出
- ssis 创建ssisdb_SSIS目录数据库(SSISDB)简介
- 鼠标宏会不会封号_每天一个英雄联盟封号技巧:峡谷先锋可以连续撞塔两次,你会吗?...
- 计算器代码(C语言)
- android按键精灵 释放内存,【院刊】-【201408期】内存用完?院刊教你如何释放系统内存...
- html 倒计时小工具
- javaweb mysql毕业生管理系统_javaweb高校毕业生就业管理系统, springmvc+mysql
- 使用Cisco Packet Tracer 搭建网络