攻防世界-泰山杯-简单的文件包含

攻防世界-泰山杯-简单的文件包含

1、打开题目场景

攻防世界-泰山杯-简单的文件包含

 发现这个和之前的file_include相似,也知道是一个文件包含,我们首先使用常用的协议进行查看

攻防世界-泰山杯-简单的文件包含

发现filter被过滤了,那么目前可知Conversion Filters(转换过滤器)的base64的不能用。

接着我们尝试其他的协议

这里参考一个博主的资料进行使用(很详细的总结)

php://filter的各种过滤器_天问_Herbert555的博客-CSDN博客_php://filter rot13

这里我直接使用iconv过滤器进行

这个过滤器需要 php 支持 iconv,而 iconv 是默认编译的。使用convert.iconv.*过滤器等同于用iconv()函数处理所有的流数据。

convery.iconv.*的使用有两种方法:
convert.iconv.<input-encoding>.<output-encoding> 
convert.iconv.<input-encoding>/<output-encoding>

我们首先随便构建payload

php://filter/convert.iconv.UTF-8.UTF-7/resource=/var/www/html/check.php

攻防世界-泰山杯-简单的文件包含

 看见没有错误,回显我们猜测可能因为字符集的问题无法回显

因此我们使用burp进行测试,iconv支持的字符集有

UCS-4*
UCS-4BE
UCS-4LE*
UCS-2
UCS-2BE
UCS-2LE
UTF-32*
UTF-32BE*
UTF-32LE*
UTF-16*
UTF-16BE*
UTF-16LE*
UTF-7
UTF7-IMAP
UTF-8*
ASCII*

在我的主页有资源

接着使用burp进行抓包,然后对其爆破

攻防世界-泰山杯-简单的文件包含

给两个字符集改为变量,然后给其上传payload

攻防世界-泰山杯-简单的文件包含

 最后对其进行爆破

攻防世界-泰山杯-简单的文件包含

查看到check.php对一些字符的过滤,然后没有其他信息,因此我们可以猜测是否直接有flag.php

我们直接查看flag.php

攻防世界-泰山杯-简单的文件包含

 可以发现我们的猜测是正确有flag.php,而且还查看到flag

攻防世界-泰山杯-简单的文件包含

 cyberpeace{eb325c59f0183728cd5deaf4ce0fe1f2};

                       

点击阅读全文

上一篇 2023年 6月 7日 am10:18
下一篇 2023年 6月 7日 am10:20