【XCTF高手进阶区】 web7_warmup writeup(一)

最新推荐文章于 2022-02-03 02:20:36 发布
最新推荐文章于 2022-02-03 02:20:36 发布
阅读量406 收藏
点赞数 2
分类专栏: CTF 文章标签: 字符串 php java python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mitchell_Donovan/article/details/113804265
版权

PHP 代码审计 文件包含漏洞 payload 安全攻防
关键词由CSDN通过智能技术生成

web7_warmup

原题链接

key:php代码审计+文件包含

 

①环境打开后页面显示一个滑稽👇

查看源代码后发现线索source.php👇

 

②在地址栏后加上/source.php访问,获得一段php代码

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {    #$page不存在或不是字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {    #$page存在于$whitelist数组
                return true;
            }

            $_page = mb_substr($page,0,mb_strpos($page . '?', '?')    #截取$page中首次出现?之前的部分
            );
            if (in_array($_page, $whitelist)) {    #该部分是否存在于$whitelist数组
                return true;
            }

            $_page = urldecode($page);    #对$page进行url解码
            $_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));    #截取$page中首次出现?之前的部分
            if (in_array($_page, $whitelist)) {    #该部分是否存在于$whitelist数组
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])    #检查file变量是否为空
        && is_string($_REQUEST['file'])    #检查file变量是否是字符串
        && emmm::checkFile($_REQUEST['file'])    #调用检查函数checkFile()
    ) {
        include $_REQUEST['file'];    #包含并运行指定文件
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

 

③进行代码审计,除了source.php还发现了一个hint.php

文件名都暗示到这程度了,必须得去看看,果然获得了重要线索👇

 

④回来继续代码审计👇

首先定义了一个类,类里面有一个检查函数

检查函数里首先定义了一个白名单变量($whitelist),随后是一系列if语句,能返回true或false

类之后有一个if语句,同时满足三个条件后会包含并运行文件变量file,这个file是我们自己GET或POST提交的变量

这三个条件分别是:

(1)检查file变量是否为空

(2)检查file变量是否为字符串

(3)检查函数返回值是否为true

传参变量file肯定不是空的(不然我们待会传它干嘛),当然也一定是字符串格式

关键问题就在于怎么让检查函数checkFile()返回值为true

现在我们再回来看检查函数checkFile()

第一个if语句,如果$page不存在或不是字符串,返回false

第二个if语句,如果$page存在于$whitelist数组中,返回true

第三个if语句,截取$page中首次出现?之前的部分,如果该部分存在于$whitelist数组中,返回true

第四个if语句,先对构造的payload进行url解码,再截取传进参数中首次出出现?之前的部分,如果该部分存在于$whitelist中,返回true

 

⑤在这里我们运用第三个if语句就可以达到目的

所以payload的前半部分就是source.php或hint.php,再用一个?截断,后面加上我们想本地包含并执行的文件路径就可以了

问题是现在我们只知道了目标文件名是ffffllllaaaagggg,还不知道它的路径

不妨先来看看include()函数定义👇

因为我们的参数是有/../../../../这样的路径,所以符合最后一段话:如果定义了路径,就会忽略/前的字符串而去找/../../../../../../ffffllllaaaagggg这个文件

父目录的父目录的父目录…………最终只要有足够的../我们就可以找到目标文件

 

⑥下面两个payload任选其一执行👇

http://111.200.241.244:51149/source.php?file=source.php?/../../../../ffffllllaaaagggg
http://111.200.241.244:51149/source.php?file=hint.php?/../../../../ffffllllaaaagggg

得到flag👇

 

 

 

Mitch311
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
XCTF warmup
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 1116
这题没有二进制文件 最简单的一个盲打pwn题 。虽然难的题目我还不会 只有一个ip和一个端口 nc连接上去看看 发现程序会给我们返回一个地址 猜测这个地址就是后门函数的地址 写了个爆破程序 from pwn import * def blast(ip,port,padd_start,padd_end,addr): for i in range(padd_start,padd_end): ...
XCTF Web 高手006: warmup
立志成为最会敲代码的dancer,最会locking的程序猿
04-05 427
题目: WP: 打开场景看到一张大大的滑稽.jpg 没有任何线索,只能选择看源代码 提示来了:source.php 添加到url后缀 一堆php代码,老样子,代码审计 hint.php是什么?访问一下 可见flag所在的文件名 这里有个小提示 文件名是四个f、l、a、g,所以在hint.php下会有四层目录才能找到文件 这是需要进行url编码构造payload(有效荷载) 附上一张url...
攻防世界xctf web Web_php_unserialize和warmup
weixin_45689999的博客
03-03 709
Web_php_unserialize 观察代码 题目需要绕过__wakeup和preg_match(’/[oc]:\d+:/i’, $var <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $fil...
攻防世界-Web高手进阶-warmup
feng的博客
09-08 603
前言 这题是以前做过的题目,当时并没有开始写WP。今天看文件包含的时候偶然看到了一个知识点,这个知识点正好在这题里出现了而且我觉得还是比较重要的,所以我又重新做了一遍这个题目,并写了WP,这样方便以后在翻博客找知识点的时候能很容易找到。 WP 这题打开之后是一个大大的表情。这题如果是MISC的话我们肯定得对这个图片进行一些分析,鉴于这是个Web题而且是比较简单的Web题,直接f12查看源码,发现提示我们source.php 我们进入source.php,发现了源码,进行代码审计。 <?php
XCTF-攻防世界CTF平台-Web类——6、warmupphp中include函数遍历漏洞)
Onlyone_1314的博客
11-15 1499
打开题目地址: 标题栏是Document,只有一张图片,所以我们审计源代码: 有一个source.php打开: 有一段判断页面的代码,还有一个hint.php 提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的: 所以我们继续看source.php中的代码: <?php highlight_file(__FILE__); class emmm { public static fu
writeup:xctf撰写
03-28
写上去xctf撰写
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
xctf.rar_HTML5自适应
最新发布
09-19
这个"xctf.rar"压缩包包含了一个实现HTML5全屏滚动效果的源码,它能实现平滑滚动,并且能够自适应不同浏览器的显示。 全屏滚动,也称为全屏滑动或全景观览,是一种让网页内容以连续的全屏视图展示的设计方式。这种...
XCTF_A_应收管理标准功能培训.pptx
10-11
XCTF_A_应收管理标准功能培训】的PPT内容涵盖了Oracle财务系统的应收管理模块,这个模块是企业销售到收款流程中的关键部分。以下是基于提供的文件内容详细解析的知识点: 1. **销售到收款流程概览**: - 销售到...
XCTF_A_物料清单标准功能培训.pptx
10-11
XCTF_A_物料清单标准功能培训中,主要涵盖了Oracle系统的物料管理及相关流程,旨在提升用户对物料清单(BOM)的运用和理解。以下是详细的讲解内容: 1. **物料管理**: - **系统组织架构**:Oracle系统中的组织...
攻防世界web高手进阶warmup
FY10033的博客
08-27 287
解决的问题:include(hint.php?/…/…/…/…/ffffllllaaaagggg)为什么能够访问到ffffllllaaaagggg文件 我先写总结:include 函数把source.php? 当成一个文件夹(不论你是否真实存在) ,然后在进行一层一层地返回上级 首先,你先理解好这些内容,这些内容网上都是解析也都很详细,这里不做重点进行解释 我们重点解释一下 include(hint.php?/…/…/…/…/ffffllllaaaagggg)为什么能够调取ffffllllaaaagggg
2020.3.28 xctfwarmup)②
DSR446的博客
03-28 388
由于不熟悉PHP的几个函数,我查了几个小时才弄明白后面讲的什么!! 可以看到有注释source.php,访问后可以看到其源码 发现一个hint.php文件,先访问一下 我猜测flag就在这个ffffllllaaaagggg里面 现在我们就开始看看代码中讲的啥!! 这里就相当于创建一个python中的字典(当然这里是php) ...
web_warmup
怪味巧克力的博客
05-25 396
0x01 进去以后一个笑脸,哈哈哈 接下来我们查看源码 发现注释部分提示我们有个source.php,我们查看一下,结果如图 发现源代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=&gt
XCTF-高手进阶:ics-07
1stPeak's Blog
04-14 591
题目: 发现view-source <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start...
CTFweb WarmUp解析
weixin_43404314的博客
12-19 422
首先查看源码 返回到图片页面打开source.php文件 发现还包含的有一个文件,于是再次返回图片页面打开hint.php 得到 %253F绕过 即可得flag. 第一次写,不喜勿喷 ...
web大手子炼成记之warmup
qq_43579362的博客
01-27 395
XCTF warmup 题目链接:题目链接 记xctf之wramup writeup!!! 打开题目链接,F12发现提示,进入source.php,代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) ...
BUUCTF web入门题目每日两道(一)
horiozn1709的博客
02-03 1200
[极客大挑战 2019]EasySQL 1 该题目需要同时输入用户名和密码,在用户名处输入万能密码‘or 1=1 # ,密码处输入任意字符即可得到flag [HCTF 2018]WarmUp 1 php 代码审计问题 首先看页面源码 注意到在body中注释掉了 source.php ,所以我们直接访问source.php 得到源码: <?php highlight_file(__FILE__); classemmm { pu...
PHP代码审计入门题
weixin_44022769的博客
03-28 1423
来源:https://buuoj.cn/challenges 点开出现一个滑稽脸 查看网页源代码,发现突破点: 在URL后面拼接这个source.php,发现了source.php文件: http://320a5c2d-1f76-4156-884c-00846ec2ff63.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { pub...
HCTF 2018:WarmUp(源代码详解)
1stPeak's Blog
03-06 2780
前言 之前刷BUUCTF时遇到过这题,这次刷XCTF时也遇到了,那就写个详细点的WP吧 寻找利用点 打开题目,是一个滑稽图 没发现什么,查看下网页源代码,发现了source.php 访问source.php,发现以下source.php中的代码,经测试,这是index.php的源代码 <?php highlight_file(__FILE__); class emmm ...
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 645
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mitch311

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值