平台配套题目
afr_1
1、题目思路:
php伪协议读文件
2、payload
http://192.168.112.3/?p=php://filter/read=convert.base64-encode/resource=flag
3、n1book{afr_1_solved}
afr_1
1、题目思路:
nginx错误配置
2、payload
http://192.168.112.3/img../
3、n1book{afr_2_solved}
afr_3
1、题目思路:
文件读
代码审计
session encode
flask SSTI
2、payload
http://192.168.112.3:5000/article?name=/../../../../../proc/self/cmdline
http://192.168.112.3:5000/article?name=/../../../../../proc/self/cwd/server.py
3、n1book{afr_3_solved}
兵者多诡(HCTF 2016)
1、题目考点:文件上传+文件包含漏洞
2、题目思路
文件包含漏洞—伪协议读源码
home.php
upload.php
3、知识点利用
zip://协议的利用:试想倘若有一种情况限制文件后缀为php文件,并且上传文件只能传jpg文件。allow_url_fopen参数与allow_url_include参数全部off的情况下。貌似之前所用伪协议都无效,比较旧的版本可以使用00截断,路径长度截断等。但是若无截断漏洞该如何?此种情况下可以使用zip伪协议,将木马放入压缩包中,再将压缩包后缀修改为上传白名单,然后使用zip伪协议进行包含。例如:zip://绝对路径\需要解压缩的文件%23子文件名。
phar://协议的利用:phar://伪协议同zip伪协议。故上述问题此协议也可解决。phar://cc.jpg/cc,与zip协议不同的是zip协议为绝对路径,而phar协议为相对路径。
我们上传一个zip文件至服务器,当通过zip://协议解析这个压缩文件时,会自动将这个zip文件按照压缩时的文件结构进行解析,然后通过“#+文件名”的方式对zip内部所压缩的文件进行索引。
PWNHUB-Classroom
1、题目考点:Django任意文件读取漏洞
2、解题思路:
- Django CVE-2009-2659读取。
- .pyc是python的字节码文件,python3.5.2的字节码文件在pycache/*.cpython-35.pyc中。读取字节码文件。
- 反编译python3的字节码文件。
- python代码审计。
Pwnhub Web题Classroom题解与分析
3、参考:python任意文件读取漏洞
