BUUCTF WEB HCTF 2018 WarmUp

最新推荐文章于 2024-03-03 22:43:09 发布
最新推荐文章于 2024-03-03 22:43:09 发布
阅读量924 收藏 24
点赞数 15
分类专栏: BUUCTF 文章标签: php linux web python java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ethan552525/article/details/118652415
版权

1:题目

2:解题

2.1:查看源码

        按F12发现提示:<!--source.php-->

2.2:尝试打开source.php

        http://f25ece33-0891-47a1-b89a-eefac33b2f4f.node4.buuoj.cn/source.php

        得到代码:

2.3:解析代码

2.3.1:代码正文解析   

if (! empty($_REQUEST['file'])
      && is_string($_REQUEST['file'])
      && emmm::checkFile($_REQUEST['file'])
   ) {
      include $_REQUEST['file'];
      exit;
   } else {
      echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
   }

2.3.1.1:$_REQUEST

        变量 $_REQUEST用于收集HTML表单提交的数据,默认情况下包含了$_GET,$_POST和$_COOKIE的数组。

        GET是从服务器上获取数据,GET是把参数数据队列加到提交表单的ACTION属性所指的URL中,值和表单内各个字段一一对应,在URL中可以看到。

        POST是向服务器传送数据,POST是通过HTTP POST机制,将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址,用户看不到这个过程。

        通过POST和GET方法提交的所有数据都可以通过$_REQUEST["参数"]获得。

2.3.1.2:empty()

        empty(var) 函数用于检查一个变量是否为空,当 变量var 存在,并且是一个非空非零的值时返回 FALSE 否则返回 TRUE。

2.3.1.3:is_string()

        is_string(var)检测变量是否是字符串,如果var是字符串则返回true,否则返回false。

2.3.1.4:include

        include语句包含并运行指定文件。

        文件查找过程:

        1、被包含文件先按参数给出的路径寻找。

        2、如果没有给出目录(只有文件名)时则按照include_path指定的目录寻找。

        3、如果在include_path下没找到该文件,则include最后才在调用脚本文件所在的目录和当前工作目录下寻找。

        4、如果最后仍未找到文件则include会发出一条警告。

2.3.1.5:逻辑结构

        传入的file参数需满足以下3个条件,才可包含并运行file:

        (1)不为空

        (2)为字符串

        (3)emmm::checkFile($_REQUEST['file']) 返回 true

2.3.2:类emmm解析

class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

2.3.2.1:第一部分

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
    echo "you can't see it";
    return false;
}

        设置了白名单数组:source.php,hint.php;尝试将这两个文件赋给参数file:

        http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=source.php

         http://655324d1-2d9d-4368-b055-00747977dfd1.node4.buuoj.cn/?file=hint.php

         这句话说明flag可能在文件ffffllllaaaagggg中,我们要include ffffllllaaaagggg。

2.3.2.2:第二部分

if (in_array($page, $whitelist)) {
    return true;
}

        若$page的值在数组$whitelist中,则返回true。

2.3.2.3:第三部分

$_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

2.3.2.3.1:mb_substr()

        mb_substr ( string $str , int $start , int $length )        

        mb_substr() 函数从$str的$start字符位置开始,截断$length个字符并返回字符串。$str的第一个字符的位置是 0,第二个字符的位置是 1,以此类推。

        类似substr() 函数,substr() 函数只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。

2.3.2.3.2:mb_strpos()

        mb_strpos(haystack, needle),查找字符串needle在另一个字符串haystack中首次出现的位置,返回位置(int)。第一个字符的位置是 0,第二个字符的位置是 1,以此类推。

2.3.2.3.3:逻辑解释

        将$page字符串第一个问号?以前的字符串截下来,保存在$_page中,若$_page值为source.php、hint.php则返回true。

2.3.2.3:第四部分

$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

        若要执行第三部分语句,说明第一、二、三部分的if语句条件均为false。第四部分if语句中的$_page经历了如下改变:一次问号截断,一次url解码,一次问号截断。

        注:url传入服务器会自动进行一次urldecode。

               ?的url编码为%3F,双重url编码为%253F。

#第三部分
$_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);

#第四部分
$_page = urldecode($page);
$_page = mb_substr(
    $_page,
    0,
    mb_strpos($_page . '?', '?')
);

2.3.2.4:如何返回true

        以下三种构造方式均可让emmm::checkFile($_REQUEST['file'])返回true:

        (1)满足第二部分if语句:file=source.php

        (2)满足第三部分if语句:file=source.php?xxxxxxxxx

        (3)满足第四部分if语句:file=source.php%253Fxxxxxxx

        注:source.php可换成hint.php。

2.2:构造参数

        file=source.php?/../../../../ffffllllaaaagggg

        file=source.php%253F/../../../../ffffllllaaaagggg

2.2.1:构造原理

        (1)要满足emmm::checkFile($_REQUEST['file'])返回true

        (2)要include找到文件ffffllllaaaagggg

        (3)../代表返回上级目录

2.2.2:疑惑解释

        疑惑:source.php?/  不是文件目录为何能找到ffffllllaaaagggg?

        解释:include会将source.php?/看做是一个目录,即使它不存在,只要通过几个 ../ 返回上级目录即可。比如 file=source.php?/aaa/bbb/ccc/../../../../../../../ffffllllaaaagggg 依然可行。

Ethan552525
关注
专栏目录
BUUOJ Web [HCTF 2018]WarmUp
weixin_50287973的博客
11-06 376
这道是第一道web题,对我这个菜鸡来说还是收获不少 打开页面源代码提示 进入这个页面 得到代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
HCTF2018-warmup-writeup
ST0new的博客
09-26 2656
warmup-wpBUUCTFwebwarmup BUUCTF web warmup 这里我直接上代码讲 菜鸡不会php,全是现查 哪里不对,欢迎大佬指点 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) ...
Buuctf-Web-[HCTF 2018]WarmUp
御七彩虹猫
05-12 601
Buuctf-Web-[HCTF 2018]WarmUp
BUUCTF-WEB:[HCTF 2018]WarmUp
_Co1a
11-02 339
刷题平台:https://buuoj.cn 题目地址:https://buuoj.cn/challenges#[HCTF%202018]WarmUp 解题步骤: 1、访问:http://26778d38-6a95-4982-9d92-c945c10aaafe.node3.buuoj.cn 2、出现一个滑稽头像并按快捷键F12查看源码,出现提示信息source.php 3、将/source.php复制到地址栏已有地址后面 http://26778d38-6a95-4982-9d92-c945c10aaa
HCTF2018-web-warmup
baola的博客
08-04 828
HCTF2018-web-warmup 这题是根据CVE-2018-12613 phpMyAdmin文件包含漏洞改编而来。 所以需要有文件包含漏洞的基础知识,php代码基础
BUUCTFWeb之[HCTF 2018]WarmUp 1
qq_45972928的博客
05-02 1255
1、首先打开题目链接 2、因为是php代码审计,所以我们尝试寻找代码。先查看网页源码 这里发现一个注释的php文件 3、尝试对source.php进行访问 4、出现了php代码,进行代码分析 ① 观察参数file,首先file不能为空,其次要满足是字符串类型 php if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFil.
Tamevic’s Ctf-Web writeup@BUUCTF Web合集(更新中...)
Tamevic的博客
06-20 948
Tamevic’s Ctf-Web writeup@BUUCTF Web 前言 大学所有课程都结束了,接下来还有考试和其他一些安排就要毕业了。从大二开始一直在说什么时候能有大块空闲时间好好学学ctf,但是课程安排比较紧张,一直没得空。现在好不容易有了大块时间,说开始就开始。 这次选择BUUCTFWeb题,这里题目基本都是历年各大赛事的原题,质量比较高,便于积累。 HCTF2018 WarmUp 环境一起就是一个滑稽…查看源码,提示去看source.php source.php里是源码 经过百度得知这
BUUCTF-WEB
ccfly1012的博客
11-02 3898
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
BUUCTF web(一)
热门推荐
Lemon's blog
10-16 1万+
前言:最近参加了一场CTF比赛,菜的一批,接下来多练习web题、MISC、密码学,多思考,提高一下自己做题的思路,以及代码审计、编写脚本的能力。 [HCTF 2018]WarmUp 查看源码,发现<!--source.php-->,打开发现源码 <?php highlight_file(__FILE__); if (! empty($_REQUEST['file...
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)
qq_43710889的博客
11-27 4112
[CTF从0到1学习] BUUCTF WEB部分 wp(待完善) 文章目录[CTF从0到1学习] BUUCTF WEB部分 wp(待完善)[HCTF 2018]WarmUp[极客大挑战 2019]EasySQL[极客大挑战 2019]Havefun[ACTF2020 新生赛]Include[强网杯 2019]随便注 [HCTF 2018]WarmUp 首先看看网页源码呗 <?php highlight_file(__FILE__); class emmm {
web-[HCTF 2018]WarmUp
wojiushilsy的博客
04-03 281
ad
BUUCTF web-[HCTF 2018]WarmUp
m0_53314778的博客
01-14 4158
[HCTF 2018]WarmUp 点进去一个滑稽,,查看源码 有个php,访问php 查看源码,有个hint.php访问一下 提示说flag在ffffllllaaaagggg文件里,我们继续分析源码 我们发现最底部的if语句为执行条件,有三个条件,第一个判断文件不能为空(检查是否传了file参数),第二这个传的参数是字符串,第三要过白名单检测,过了之后包含 隐藏了flag的文件。我们再看上面的if语句,白名单是hint.php,又有mb_strpos和mb_substr截取内容,碰到?就截止,所以我们只
BUUCTF [HCTF 2018] WarmUp
Senimo
03-29 731
BUUCTF [HCTF 2018] WarmUp Web writeup 启动靶机,打开环境: 根据提示是一道PHP代码审计的题目,查看网页源码: <body> <!--source.php--> 发现提示的新页面,访问得到源码: 分析源码: 先看最后的一个if: if (! empty($_REQUEST['file']) &amp...
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 756
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
攻防世界-Web进阶区-warmup题解
Jollowin的博客
11-26 862
warmup题解 我们进入到题目界面会看到一张猥琐的笑脸,假装没看到他直接按F12。 这里我们发现了一条线索:source.php。 好家伙,那我们不妨到source.php看一看: 进行代码审计,初步发现我们可以提交一个名为file的变量,若变量file的值为source.php或hint.php则会执行include $_REQUEST[‘file’]。 那我们不妨令file=hint.php看一看。 1.如上图我们发现底部出现了一行提示,那我们现在的目的就变成了让 include $_REQUE
XCTF-攻防世界CTF平台-Web类——6、warmupphp中include函数遍历漏洞)
Onlyone_1314的博客
11-15 1600
打开题目地址: 标题栏是Document,只有一张图片,所以我们审计源代码: 有一个source.php打开: 有一段判断页面的代码,还有一个hint.php 提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的: 所以我们继续看source.php中的代码: <?php highlight_file(__FILE__); class emmm { public static fu
web | CTF】BUUCTF [HCTF 2018]WarmUp
最新发布
weixin_46301214的博客
03-03 543
访问一下hint.php文件就告诉我们,flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的,然后重点来了,想要访问成其他文件,只需要继续拼接?拦截大概意思就是,我们输入:ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗?然后你会发现,这TM是五层目录啊,而且本地是无法复现出来的。发现文件,打开访问一下看看,发现是代码审计。这里经验灵感是 四个字,所以是四层目录。
攻防世界web高手进阶warmup
FY10033的博客
08-27 321
解决的问题:include(hint.php?/…/…/…/…/ffffllllaaaagggg)为什么能够访问到ffffllllaaaagggg文件 我先写总结:include 函数把source.php? 当成一个文件夹(不论你是否真实存在) ,然后在进行一层一层地返回上级 首先,你先理解好这些内容,这些内容网上都是解析也都很详细,这里不做重点进行解释 我们重点解释一下 include(hint.php?/…/…/…/…/ffffllllaaaagggg)为什么能够调取ffffllllaaaagggg
BUUCTFWEB-WarmUp
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
[HCTF 2018]WarmUp
08-29
[HCTF 2018]WarmUp是一个CTF比赛题目,其中涉及到一个叫做emmm的类。这个类中有一个名为checkFile的方法。checkFile方法的作用是对传入的$page参数进行检查。在方法中,首先判断$page是否存在并且是字符串类型,如果不满足条件,则输出"you can't see it"并返回false。接着,将$page与白名单数组$whitelist进行匹配,如果匹配成功,则返回true。如果没有匹配成功,则继续进行下一步操作。 下一步操作中,先对$page进行一次截取操作,截取到第一个问号之前的部分,将截取结果赋值给$_page。然后再次对$_page进行白名单匹配,如果匹配成功,则返回true。如果匹配不成功,则对$_page进行二次URL解码,并再次进行一次截取操作,将结果赋值给$_page。最后再次对$_page进行白名单匹配,如果匹配成功,则输出"sdf you can't see it"并返回true。如果都不满足条件,则输出"you can't see it"并返回false。 这个题目的前身是一个cve漏洞(phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613))。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [[HCTF 2018]WarmUp](https://blog.csdn.net/m0_62709637/article/details/125022518)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值