buu web:warm up(PHP代码审计)

已于 2022-04-07 09:20:28 修改
阅读量2.6k 收藏 4
点赞数 3
分类专栏: buuctf 文章标签: web安全
于 2022-03-28 00:17:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55378150/article/details/123783317
版权

启动靶机,发现了这么个玩意

查看一手源代码

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <!--source.php-->
    
    <br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" /></body>
</html>

 发现了一个source.php,打开看一下

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

(看了一下大佬的wp才知道这是一个phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613),有兴趣的自己去看一下)

好的,代码审计跑不了了,看到白名单里还有一个hint.php,也打开看一下

告诉了我们flag的位置,但是目前还没什么用,回去source.php找一下关键代码


    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }

可以看到有个include,应该就是文件包含漏洞了,如果以request方式传入的file参数通过了if,就能通过include函数包含文件。empty和is_string函数作用不大,用来检测是否为空和是否为字符串的,关键是它的checkfile函数,如果它的结果是true的话就能通过if了。所以我们回去看看它定义的checkfile函数

        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }

可以看到,有三个地方可以return true

if (in_array($page, $whitelist)) {
                return true;
            }
$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
$_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

第一个是传入的file参数值在白名单(source.php,hint.php)里面就能返回true,payload为?file=source.php或者?file=hint.php

这样虽然通过了if但并不能包含我们想要的flag文件,所以我们看一下第二个

这里出现了两个陌生函数mb_substr和mb_strpos,查了一手资料,两者结合在这里的意思就是在参数值后面加一个问号,然后截取第一个问号前面的字符串和白名单进行比对,通过就能返回true,所以我们构造payload:?file=source.php?/../../../../../ffffllllaaaagggg或者?file=hint.php?/../../../../../ffffllllaaaagggg,通过目录穿越拿到flag

那么这里就会有人问了,include里面包含的是整个file的值,为什么source.php?/../../../../../ffffllllaaaagggg这个形式的文件可以被成功包含呢?这就涉及到一个特殊的目录穿越机制了,我们以cmd的cd命令为例

dir列出当前目录

然后我们试着进入一个不存在的目录,并通过/../返回上一层

可以看到,它并没有报错 ,dir看一下

可以看到,这个命令并没有检查123?这个目录是否存在,它只是通过后面的/../知道你的目的是访问一个目录并返回,所以它并没有改变我们当前的位置,与我们这道题的目录穿越有共同之处,所以payload用的就是这个原理 ,当payload为?file=source.php?/../source.php时,就可以成功包含source.php

(原本的source.php界面下多了一个source.php)

所以source.php?/../的作用除了能成功通过白名单返回true外,还能让我们回到当前的一个目录下,然后再根据hint.php的提示,大胆猜想还要返回四个目录,也就是我们一开始的payload

(但是有大佬说自己搭建的靶场不能通过这个payload拿到flag,因为include函数里面好像不能有?这样的特殊字符,但是buu这个不知道为什么就可以,所以我们直接去看一下第三种情况)

 第三种情况也是截取问号前面的字符串与白名单对比,但是它多了一步urldecode,它会识别url编码并且进行解码,所以我们将问号进行一次url编码得到%3F,放入payload中,也就是?file=source.php%3F/../../../../../ffffllllaaaagggg或者将source换成hint。但是问题又来了,因为浏览器会自动识别url编码并进行一次解码,所以设置的payload经过了浏览器解码后又变成了回到了第二个return true,拿到flag

所以,第三种情况的正确玩法应该是这样的,我们对问号进行二次编码(%253F),因为浏览器会自动识别url编码并进行一次解码, 所以我们传入?file=source.php%253F/../../../../../ffffllllaaaagggg,浏览器自动解码变成?file=source.php%3F/../../../../../ffffllllaaaagggg,经过urldecode后变成?file=source.php?/../../../../../ffffllllaaaagggg,这样就能通过白名单返回true,并且include包含的内容经过了浏览器的一次解码后变成source.php%3F/../../../../../ffffllllaaaagggg,没有特殊字符,就可以成功包含拿到flag(这就是大佬自建靶场唯一一个能拿到flag的情况)

m0_55378150
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
BUUOJ Web [HCTF 2018]WarmUp
weixin_50287973的博客
11-06 331
这道是第一道web题,对我这个菜鸡来说还是收获不少 打开页面源代码提示 进入这个页面 得到代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 在PHP编程中,变量覆盖漏洞是一种常见的安全问题,它允许攻击者通过自定义的参数值替换原有的变量值,从而可能导致...在进行代码审计时,务必关注这些潜在的风险点,以提高应用程序的安全性。
DASCTF赛warmup-php
m0_62422842的博客
05-03 1147
今天对四月份的DASCTF赛中的web题进行复现,在此总结一下。这道题是典型的代码审计,代码量非常的多。很容易就被劝退了。 先看代码: <?php class Base { public function __get($name) { $getter = 'get' . $name; if (method_exists($this, $getter)) { return $this->$getter();
BUUCTF web WarmUp
m0_46315342的博客
07-12 331
BUUCTF web WarmUp 在做这个题目的时候,首先打开链接,看到的是 右击鼠标查看源码,可以发现有个隐藏的source.php文件 然后就在地址栏访问这个source.php文件,可以看到这个题目的后端源码: 这个一看就是需要代码审计,其实就是看懂代码在说个什么东西,然后我首先很懵,但是经过慢慢的抠函数,弄着弄着就懂了。其实这个后端: 1.我觉得首先应该弄清楚这个Php文件的结构的吧,例如:这个后端是由一个class emm()和一个if条件组成的,所以结构就很清晰。看到if语句里面调用了emm:
[HCTF 2018]WarmUp1PHP 代码审计
qq_51902218的博客
07-22 380
1. 打开就是一张猥琐笑的表情包,没有任何文字信息提示,果断单击右键查看源代码 2. 发现有一个php语言的文件(source.php) 所以直接在地址栏网站名后面加?file=source.php访问(注意:符号必须是英文格式) ...
PHP代码审计-[HCTF 2018]WarmUp
Home to come
06-28 496
课设里有php代码审计的题目,但是合天网安实验室推荐的zzcms的css有问题,不想弄它了,就搜到了写buu上面的代码审计题目算了 题目:/source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php",
POSN:POSN-BUU的源代码
04-01
POSN(Positioning System)是一种用于...要深入理解POSN-BUU的具体实现,你需要阅读源代码、了解其设计思路和算法,并结合实际的硬件环境和数据输入进行分析。通过这种方式,你可以逐步掌握这个定位系统的运作机制。
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
最新发布
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
Buuctf-warmup代码审计
qq_61968245的博客
12-15 1060
0x01 题目链接 https://buuoj.cn/challenges#[HCTF%202018]WarmUphttps://buuoj.cn/challenges#[HCTF%202018]WarmUp 0x02 知识点 isset($name):判断变量是否存在 is_string($name):判断变量是否为字符串 in_array($search,$array):判$search是否在$array数组里 mb_stro...
XCTF-攻防世界CTF平台-Web类——6、warmupphp中include函数遍历漏洞)
Onlyone_1314的博客
11-15 1531
打开题目地址: 标题栏是Document,只有一张图片,所以我们审计源代码: 有一个source.php打开: 有一段判断页面的代码,还有一个hint.php 提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的: 所以我们继续看source.php中的代码: <?php highlight_file(__FILE__); class emmm { public static fu
buuctf--web篇01WarmUp
Xor0ne
06-14 765
0x01 [HCTF 2018]WarmUp 参考链接:https://blog.csdn.net/zouchengzhi1021/article/details/104173137 打开源码,发现source.php字样,添加在后面,然后就看见了php代码。如下: <?php highlight_file(__FILE__);//highlight_file() 函数对文件进行语法高亮显示。 class emmm { public static functio
BUUCTF-WEB-WarmUp
weixin_43345082的博客
07-26 638
source.php页面看源码 <?php     highlight_file(__FILE__);     class emmm     {         public&nb...
攻防世界——warmup
yybzzz的博客
03-19 5212
一 进入页面发现一个大的滑稽脸,查看源代码,发现提示source.php 进入该页面,进行代码审计,又发现一个hint.php页面,进入发现提示 表明 flag 在这个文件中,且这个文件名暗示要使用四层目录 二 继续审计代码 发现满足三个条件,会包含并运行指定文件file,此处的file可以由我们构造,为切入点: 检查file变量是否为空 检查file变量是否为字符串 通过自定义的chec...
文件包含、文件上传漏洞
CyhDl666的博客
01-28 1659
文章目录文件包含漏洞1.[HCTF 2018]WarmUp2.[ACTF2020 新生赛]Include3.[极客大挑战 2019]Secret File4.[BJDCTF2020]ZJCTF 不过如此 文件包含漏洞 不多说了 直接做题 1.[HCTF 2018]WarmUp F12进入source.php文件 <?php highlight_file(__FILE__); class emmm { public static function che
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3120
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
HCTF 2018 Warmup(函数理解)
a3320315的博客
11-07 3244
0x01 题目描述 先看hint 看url有file参数,感觉可能要用伪协议啥的,试了下,没出东西 扫一下目录,发现./source.php源码文件 源码如下 <?php class emmm { public static function checkFile(&$page) { $whitelist = [...
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值