【Writeup】BUUCTF_Web_WarmUp

最新推荐文章于 2024-04-26 22:52:15 发布
最新推荐文章于 2024-04-26 22:52:15 发布
阅读量445 收藏
点赞数
分类专栏: BUUCTF - Writeups 文章标签: CTF Web Writeup PHP审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38100569/article/details/98523425
版权

0x01 解题思路

  • F12查看网页源码:
    ;在这里插入图片描述
  • 直接访问获取到source.php源码:
<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>
  • 源码中得知hint.php的存在,直接访问:

  在这里插入图片描述

  • 猜想flag在ffffllllaaaagggg文件中,需要通过source.php源码审计获取。

0x02 源码审计

​  souce.php需要用户通过任意REQUEST方式传入一个file参数,通过checkFile函数检查后传入include函数进行文件包含。

  对source.php片段进行搜索,发现一个类似的phpMyadmin漏洞:CVE-2018-12613 PhpMyadmin后台文件包含分析

  本题的漏洞主要在于对file参数进行白名单检查时,采用在末尾添加**?然后截取开始至第一个?**之间的子串,再检查该子串是否在白名单中的方式check。这种操作一共有两次,其中第二次操作之前会对原参数进行一次url解码。这样做的本意是想在file参数后即使跟参数也能够解析出文件名,但也因此遗留了漏洞。这样我们只需要构造[name in whilelist]?xxxxx格式的file参数就可以通过checkFile函数中的第一次检查返回True,构造[name in whilelist]%253fxxxxxx格式的file参数就可以通过checkFile函数中的第二次检查返回True(PHP会先自动进行一次url解码把%253f解码成为%3f,第二次操作中还含有一次url解码把%3f解码成为?)。这样就可以顺利地把file参数传递给include函数了,但是这样构造的file参数为什么能够成功包含呢?

  PHP中的include支持三种路径:

  • 绝对路径:以/或者盘符名如C:开头的路径
  • 相对路径:以./(当前目录)或者../(上级目录)开头的路径
  • 不确定路径:除去绝对路径和相对路径以外的路径,比如a.php

  关于这三种路径的定义以及PHP对其解析方式的不同,以下这篇文章讲的很清楚:PHP中require和include路径问题总结

​  其中绝对路径和相对路径会直接检查,不经过与include_path中路径的拼接,但是不确定路径会与include_path中的路径拼接然后检查,我们传入payload就是一个不确定路径。对于这道题来说,最终payload如下:

source.php?file=source.php%253f/../../../../ffffllllaaaagggg
source.php?file=source.php%3f/../../../../ffffllllaaaagggg
source.php?file=source.php?/../../../../ffffllllaaaagggg

​  以上三种尝试了一下都可以。本题中的payload是不确定路径,浏览器会认为source.php%253f/这个部分是目录,然后加上一个…/就会穿越到当前路径(include_path中的各项),后面的文件名是知道的,但是具体路径需要不断加上…/尝试,最终catch flag:

  在这里插入图片描述

BAKUMANSEC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF WebWriteUp超详细
qq_62604985的博客
07-10 1885
buutctf web题目题解, 升大三的暑假自己刷来提高能力的,是自己边做边写,暑假期间只要没事情,每天都会写一些题目,最迟晚上更新
buuctf的杂项题目
最新发布
ndjnddjxn的博客
04-26 307
文件尾:AE426082 ,后面还有许多的内容,包含着4number.txt 和 zip。查看图片的高度为256,十六进制为0100,查找后修改为0300(十六进制)是一个音频隐写的题目,用Audacity打开,将图片用Stgeslove 打开,然后另存为一张图片,是明显的base64编码,直接解密,可以看到应该是张二维码。先用010检查一下,发现文件头和文件尾完整,19 00 00 00:压缩后尺寸(25)17 00 00 00:未压缩尺寸(23)png文件的文件头:89504E47。
BUUCTF Misc杂项前十二道题的思路和感悟
热门推荐
太阳照耀我走四方
08-18 1万+
title: BUUCTF Misc date: 2021年8月18日 17点27分 tags: MISC categories: MISC 1、BUUCTF 签到题 直接告诉了flag。 2、BUUCTF 第二题(Stegsolve) 下载附件之后,得到一个gif动图。 使用Stegsolve打开。 然后一张一张的向后翻, 得到flag{he11ohongke} 3、BUUCTF 二维码(QR Research、Ziperrllo、winhex) 下载附件之后是一个zip压缩包。 解压之后得到.
BUUCTF笔记之Web系列部分WriteUp(一)
克格莫
04-29 919
1、[极客大挑战 2019]EasySQL
BUUCTF杂项笔记 1
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-15 138
找到zip文件十六进制数据的第三部分(每一部分开头都是 PK 对应的数据:50 4B),往后一点 找到 00 90 ,把 90 改成 00 就可以解压了,注意,如果文件没有加密,那么数据就是 00 00。该 名称 也可以使用的方法的数目。在这种模式下,fcrackzip将从文件中读取密码,该文件每行必须包含一个密码,并且应按字母顺序排序(例如,使用 (1) )。很明显图片里面包含了zip文件,使用kali提取出来,然后使用john爆破发现破解不了,说明可能是伪加密,把提取出来的压缩包载入HxD中。
buuctf——justRe
yhfgs的博客
05-25 707
1.下载得到jestRe.exe文件,查壳,丢到DIE中。 无壳,32位文件。 2.丢到IDA中,找main函数,F5,发现没有和flag相关的东西,直接shift+f12查找字符串。在最后发现BJD{%d%d2069a45792d233ac},直接跟进。 找到其对应的函数。(先根据printf函数盲猜一波,把19999,0分别替换%d)。 3.分析代码(根本就看不懂,直接把盲猜的flag提交,我*居然对了。。。)。 具体可以看看大佬的解析:[BUUCTF]REVERSE------.
ADS Writeup_ads_
10-03
"Advanced Data Structure Writeup" 提供了一个深入探讨这一领域的详细分析,涵盖了各种复杂的数据结构及其在实际问题解决中的应用。 **一、数组** 数组是最基础的数据结构,它提供了固定大小且连续的内存空间来...
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
ADS Writeup_2_ads_
10-02
在“Advanced Data Structure Writeup_2_ads_”这个主题中,我们主要探讨的是高级数据结构的相关概念、应用和实现。数据结构是计算机科学中的一个重要领域,它研究如何组织和存储数据,以便更有效地进行访问和操作。...
writeup_knkl_
09-30
【标题】"writeup_knkl_" 暗示了这是一个关于技术分析或漏洞报告的文档,其中"knkl"可能是某种缩写,可能代表一个特定的技术、工具或概念。由于描述部分"Raghav abnsaklfmleamafl;emgl;aeg"看起来像是随机字符序列,...
ADS Writeup_1_ads_
09-29
《高级数据结构解析1》(ADS Writeup_1)是一篇深入探讨高级数据结构的分析报告,主要聚焦于这些结构在计算机科学中的重要性、应用以及优化策略。数据结构是编程和算法设计的基础,它影响着程序的效率、可读性和可...
BUUCTF-Writeup
m0_46263419的博客
09-26 508
BUUCTF-Writeup 1.Web-[极客大挑战 2019]Secret File 把一切都放在那里了,看到奇怪的背景颜色想到可能会在背景隐藏东西试一下Ctrl+A,果然 点击后跳转界面 我们可以找到但当我们访问action,php时,会直接跳转到end.php,抓包后可得到 访问可得 利用文件包含漏洞(PHP伪协议) ?file=php://filter/read=convert.base64-encode/resource=flag.php 解码后即可得到flag 2.[ACTF2020 新
BUUCTF】JustRE
m0_68259687的博客
06-09 179
分析下来发现,主函数中不存在和flag有关的信息。双击 aBjdDD2069a4579。flag为将19999和0填入字符串中。发现一个疑似flag的字符串。按x寻找相关联,之后反编译。
BUUCTF笔记之Misc系列部分WriteUp(一)
克格莫
05-24 2401
话说misc系列可以说是调剂放松了,web和crypto做吐了,就来做点简单的misc放松一下。 1.N种方法解决 乍一看以为真是个exe,我还拖进IDA看了一波,结果还是吃了没见识的亏,后来IDA无果,拖进winhex看发现是一个图片文件。。。 重命名为jpg打开无果,发现文件头后面有个base64,看看文件末尾有等于号,那把中间这一大坨拿出来解码试试: 解码出来提示是png了,那把它解码之后的数据转成图片: 扫码得到flag。 ...
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7631
BUUCTF题目Misc部分wp(持续更新)
BUUCTF Web WarmUp1
qq_52429415的博客
03-07 596
BUUCTF Web WarmUp1 进入网站后发现什么也没有 按F12查看原代码,发现PHP发现新的PHP(hit.php) 发现flag在ffffllllaaaagggg中 仔细分析代码 因为flag在ffffllllaaaagggg中 为了读到ffffllllaaaagggg 可以加?file=source.php?/ffffllllaaaagggg 因为传入后服务器会自动解一次码 所以第二个问号要自己url加密一次 ?file=source.php%3f/ffffllllaaaagggg 因为后来还
Buuctf杂项解题笔记
2301_76968724的博客
02-17 1180
解密方式:全局方式位标记的四个数字中只有第二个数字对其有影响,其它的不管为何值,都不影响它的加密属性,即:第二个数字为奇数时 –>加密第二个数字为偶数时 –>未加密。
CTF杂项-BUUCTF竞赛真题WriteUp(2)
道阻且长,行则将至。
05-05 6956
文章目录前言No.1 Git动图分解提取信息No.2 隐藏文件提取与爆破N0.3 Base64编码还原图片No.4 winhex修改图片大小No.5 编辑器查看图片隐写 前言 为了划水过几天的“ 红帽杯 ” 网络安全大赛,学习并记录下 BUUCTF 平台的杂项部分题目,因为去年参加“ 强网杯 ”网络安全大赛发现杂项类型的题目还是可以争取得分的,也希望过几天运气好点吧… No.1 Git动图分解提取信息 下载附件发现是一个金三胖的动图,闪烁着红色 flag 字体(因三胖的图片被平台列为违规项目所以无法展示)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值