[HCTF 2018]warmup

最新推荐文章于 2025-11-13 14:50:50 发布

原创最新推荐文章于 2025-11-13 14:50:50 发布 · 175 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#玩游戏

打开发现有张图片

打开页面源代码发现有一个php页面

拼接到url后发现一堆php代码

把能看懂的页面访问一下，发现flag所在文件名

把代码扔给AI说有文件包含漏洞，及截取问号？前的检查，被拦截就会显示can’t或滑稽

构造文件包含的url,问号前放个已知页面，发现没有报错，那就是路径问题

多加了几个../之后拿到flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

stupidr

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUUCTF系列 // [HCTF 2018] WarmUp

qq_45805420的博客

09-21

455

前言本题知识点：PHP 的代码审计 & 目录穿越 WP 打开题目页面，可以看到一个滑稽表情，除此之外没有明显的提示。F12查看网页源码，发现提示 ‘source.php’ 访问该文件，得到题目源码对代码进行初步的分析如下： <?php highlight_file(__FILE__); class emmm //定义 emmm类 { public static function checkFile(&$page) //定义 check

BUUCTF——Web之HCTF 2018 WarmUp

cai_huaer的博客

02-20

1016

ffffllllaaaagggg”，发现没有“you can't see it”提示，页面是一片空白后，应该是跑到了include那去了，只是可能位置不对。仔细看checkFile方法，发现当page值是hint.php/ffffllllaaaagggg时，下面方法是false。再看一下代码，如果是文件夹，那么我们能用include漏洞去文件包含，那么需要执行到include那一行代码，需要前面三个条件都为真。的字符串，只要符合$whitelist数组中的值就行，source.php和hint.php。

参与评论您还未登录，请先登录后发表或查看评论

HCTF 2018 Warm up

qq_53689523的博客

02-06

301

所以，可以知道flag在ffffllllaaaagggg中，接下来，我们分析source.php文件，我们看到其设置了白名单(source.php和hint.php),如果不在白名单内，直接返回False,根本就不会执行文件查询语句，所以只有构造url,绕过source.php，才可以访问到ffffllllaaaagggg文件。看到源代码里提示一个source.php文件，所以我们猜测，要么是加载过来一个php文件（可是F12以后，没有发现），要么就是当前目录下有个source.php。

HCTF 2018 WarmUp 1（代码审计）

Snk0xHeart的博客

06-16

891

php。

BUUCTF WEB HCTF 2018 WarmUp

Ethan552525的博客

07-11

1193

1：题目 2：解题 2.1：查看源码按F12发现提示： 2.2：尝试打开source.php http://f25ece33-0891-47a1-b89a-eefac33b2f4f.node4.buuoj.cn/source.php 得到代码： 2.3：解析代码 2.3.1：代码正文解析 if (! empty($_REQUEST['file']) &...

【BUUCTF】HCTF2018 WarmUp

_Kisaragi_的博客

08-06

284

打开页面看到一个滑稽表情，F12 发现提示source.php。进入该页面，发现是代码审计，代码如下： <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

HCTF2018 WarmUp

BlueDoorZz的博客

07-11

664

BUU第一题，老实说第一次做的时候手足无措。 0x01 题目类型：php代码审计，文件包含。 0x02 点开链接，开门见山就是一个大大的滑稽。查看源代码，注释中提醒有source.php文件。访问source.php，看到源码。 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) {

【BUUCTF】 HCTF2018 WarmUp

m0_68259687的博客

08-19

338

前面的部分重新赋予$page，且这部分必须包含source.php或者hint.php，因此我们可以猜出这个请求应该是。大致意思是，只有链接中包含了file文件请求且通过了checkFile函数的验证，那么将把链接包含的file文件include到页面中，否则输出一张图片（推测为那个滑稽头像）可以看到函数会检查file请求是否为空，是否是字符串等，且只有在参数中包含了source .php或者hint.php时才会生效。按照常规思路f12，看一看有什么，结果发现了一个名为source.php的注释。

[ctf]HCTF 2018 warmup超详详详详解

momoadsp的博客

05-11

4167

打开以后发现是一个jpg图片，查看源代码发现被注释掉的source.php 访问发现了，因为high_file而被泄漏的源代码发现除了source.php，还有hint.php 我们访问hint.php 我们知道了flag在ffffllllaaaagggg中接着我们来分析代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile

[HCTF 2018]WarmUp1

2301_80010998的博客

06-28

619

ctf

BUUCTF[HCTF 2018]WarmUp 1

10-21

【知识点解析】 1. **源代码查看与漏洞分析**：在CTF（Capture The Flag）竞赛中，查看源代码是获取服务器端脚本逻辑的重要手段。通过观察源代码，可以理解程序的运行机制、判断逻辑和潜在漏洞。...

[原题复现]HCTF 2018 Warmup

笑花大王

02-05

3155

HCTF 2018 Warmup 原题复现：https://gitee.com/xiaohua1998/hctf_2018_warmup 考察知识点:文件包含漏洞(phpmyadmin 4.8.1任意文件包含) 线上平台:https://buuoj.cn（北京联合大学公开的CTF平台）榆林学院内可使用协会内部的CTF训练平台找到此题过程访问页面查看源码发现注释里面的内容访问它访...

2503_93350398的博客

11-13

2076

综观2025年Q4市场，Intel Core i5-14600K凭借均衡的多核性能、出色的直播兼容性与合理的定价，稳居“高性价比游戏CPU”榜首。它不仅满足2K高帧率游戏需求，更在内容创作者日益增多的背景下，提供了可靠的多任务保障。当然，玩家仍需根据自身预算、主板平台偏好及是否涉及生产力负载做出理性选择——毕竟，“高性价比”的本质，是在特定场景下实现性能与成本的最优解，而非盲目追求参数堆砌。

小黄鱼初版.zip

12-11

小黄鱼初版

模拟压力和推进剂通过火箭的流体流动，计算压力供给火箭的临界值。.zip

最新发布

12-11

1.版本：matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点：参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象：计算机，电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。

【遥感与城市气候】基于Landsat 8热红外影像的城市热岛强度检测：利用动态世界分类与地表温度反演的多尺度分析方法

12-11

内容概要：本文介绍了一种基于Landsat 8遥感影像和Google Earth Engine（GEE）平台的城市热岛（UHI）检测方法，并提供了完整的Python脚本实现。程序首先加载FAO一级行政区划数据确定研究区域，利用Dynamic World地表覆盖分类产品提取城市建成区掩膜，随后加载Landsat 8热红外波段数据并进行辐射定标获取地表温度（LST），计算区域平均温度后构建UHI指数图像，最后将热岛强度划分为五个等级（从轻度到极端）并导出为GeoTIFF格式，同时生成交互式HTML地图用于可视化分析。; 适合人群：地理信息系统（GIS）、遥感、城市气候、环境科学等领域的研究人员或技术人员，以及具备基本Python编程能力和遥感基础知识的学生；; 使用场景及目标：①开展城市热环境监测与评估；②支持城市规划与可持续发展决策；③教学演示遥感数据处理流程；④实现自动化批量处理多时相热岛分析任务；阅读建议：运行前需配置Google Earth Engine账户并安装ee和geemap库，建议结合QGIS等工具对输出结果进一步分析，同时可根据实际需求调整研究区域、时间范围和分类阈值。

Firefox火狐浏览器 Resource Override 插件

12-11

Resource Override（简称 RO）是一款免费的浏览器开发者工具插件，主要用于拦截、修改和替换网页加载的资源（如 JavaScript、CSS、图片、接口请求等），无需修改服务器端代码，就能在本地调试网页的资源加载逻辑。

[HCTF 2018]WarmUp 1

04-01

好的，我现在需要帮用户解决HCTF 2018 WarmUp题目的解题思路。首先，我应该先回忆一下这个题目的基本情况。根据用户提供的引用内容，这题可能涉及到Web安全方面的挑战，比如CTF题目常见的漏洞类型，比如文件包含、...