当前位置：首页 > news >正文

CTF攻防世界小白刷题自学笔记13

news 2025/8/24 14:38:07

1.fileinclude,难度：1,方向：Web

题目来源:宜兴网信办

题目描述:无

给一下题目链接：攻防世界Web方向新手模式第16题。

打开一看给了很多提示，什么language在index.php的第九行，flag在flag.php中，但事情显然不会这么简单，果然无论是输入flag.php还是index.php都是没有用的。

遇事不决，按F12打开开发者工具，果然暗藏了一段PHP语句，

好吧，我又遇到知识盲区了，现在我又打开大佬的writeup来摆烂了，同时借助GPT来分析。

代码分析

错误显示设置:

php

if( !ini_get('display_errors') ) { ini_set('display_errors', 'On'); } error_reporting(E_ALL);
- 这部分代码首先检查 PHP 配置中是否打开了错误显示。如果没有，则将其打开。接着设置错误报告级别为 E_ALL，意味着将报告所有类型的错误。
处理 Cookie:

php

$lan = $_COOKIE['language']; if(!$lan) { @setcookie("language","english"); @include("english.php"); } else { @include($lan.".php"); }
- 该代码获取名为 language 的 Cookie 值。如果该值不存在，则会设置默认语言为 english 并包含 english.php 文件。
- 如果 Cookie 已存在，则会根据 Cookie 的值包含对应的语言文件（例如 spanish.php、french.php 等等，具体取决于该 Cookie 的值）。
读取和输出文件内容:

php

$x=file_get_contents('index.php'); echo $x;
- 这部分代码使用 file_get_contents 函数读取当前目录下的 index.php 文件的内容，并将其内容输出到页面。

潜在问题

文件包含漏洞:
- 该代码存在潜在的文件包含漏洞，尤其是在 @include($lan.".php"); 行。如果 $lan 的值不是经过严格验证的，攻击者可能会利用此针对文件包含的漏洞来包含任意文件，甚至可能导致代码执行。
- 例如，如果攻击者能够设置 Cookie 值为 ../../../../../etc/passwd（假设是个类 Unix 系统），就可能导致服务器包含一个敏感文件，进而泄露信息。
安全性问题:
- 在使用 include 时不应该直接使用来自用户输入的数据，应该对输入进行验证和过滤，防止包含恶意文件。
- 小心使用 @ 符号，它会抑制错误信息的输出，可能会掩盖潜在的问题，增加调试难度。
不安全的错误显示:
- 虽然在某些情况下显示错误有助于调试，但在生产环境中开启错误显示可能会泄露敏感信息。

说人话就是利用语句中的cookie竟然敢随便接收数据，好好构造一番然后利用下方的包含语句来让flag.php文件内容显示。

php://filter 是php中独有的一个协议，可以作为一个中间流来处理其他流，可以进行任意文件的读取。

大佬原话：

在这里，read=convert.base64-encode 意味着将文件内容进行 Base64 编码，从而使文件内容变成可读的字符串。而 resource=flag 指定了要读取的文件为名为 flag 的文件（这里假设存在这个文件）。

因此，在这种情况下，如果攻击者能够成功将 cookie 的值设置为 php://filter/read=convert.base64-encode/resource=flag，那么当代码执行到 $_COOKIE['language'] 这行时，将会读取(方式:php://filter) flag 文件的内容，并对其进行 Base64 编码后输出到页面上。

这种攻击方式称为 “PHP 命令注入”，并且它能够导致严重的安全问题，因此在编写代码时要进行必要的输入校验和过滤，以避免此类攻击。

说人话：构造以下的cookie

cookie:language=php://filter/read=convert.base64-encode/resource=flag

这样php语句

@include($lan.".php");

实际上执行的是：

php

@include("php://filter/read=convert.base64-encode/resource=flag.php");

解决过程

使用软件 Burp 对发出去的数据包进行抓取，burpsuite抓包详细操作在笔记8CTF攻防世界小白刷题自学笔记8-CSDN博客，安装详细操作在笔记5CTF攻防世界小白刷题自学笔记5-CSDN博客

解密得到 flag

利用hackbar的解码功能得到flag。hackbar的安装和使用请参考我的笔记6第二题CTF攻防世界小白刷题自学笔记6-CSDN博客

CTF攻防世界小白刷题自学笔记13

1.fileinclude,难度：1,方向：Web

代码分析

潜在问题

解决过程

相关文章：

CTF攻防世界小白刷题自学笔记13

Rust 模板匹配——根据指定图片查找处于大图中的位置（支持GPU加速）

JVM详解：类的加载过程

Python →爬虫实践

Visitor 访问者模式

Mac解压包安装MongoDB8并设置launchd自启动

Springboot采用jasypt加密配置

加载shellcode

K8S如何基于Istio实现全链路HTTPS

React Query在现代前端开发中的应用

【HAProxy09】企业级反向代理HAProxy高级功能之压缩功能与后端服务器健康性监测

PostgreSQL中表的数据量很大且索引过大时怎么办

【QML】QML多线程应用(WorkerScript)

认证鉴权框架SpringSecurity-1--概念和原理篇

计算器上的MC、MR、M+、M—、CE是什么意思？

无人机飞手执照处处需要，森林、石油管道、电力巡检等各行业都需要

计算机网络——路由选择算法

【前端】技术演进发展简史

深入解析贪心算法及其应用实例

电子工牌独立双通道定向拾音方案(有视频演示)

springboot 百货中心供应链管理系统小程序

脑机新手指南（八）：OpenBCI_GUI：从环境搭建到数据可视化（下）

8k长序列建模，蛋白质语言模型Prot42仅利用目标蛋白序列即可生成高亲和力结合剂

使用分级同态加密防御梯度泄漏

UDP(Echoserver)

关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案

深入理解JavaScript设计模式之单例模式

如何为服务器生成TLS证书

第一篇：Agent2Agent (A2A) 协议——协作式人工智能的黎明

Redis数据倾斜问题解决