[HCTF 2018]WarmUp 1 滑稽图(详解)

最新推荐文章于 2024-12-10 17:07:14 发布
最新推荐文章于 2024-12-10 17:07:14 发布
阅读量4.3k 收藏 29
点赞数 9
分类专栏: buuctf 文章标签: redis 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/123308438
版权

[HCTF 2018]WarmUp 1

查看页面源代码,发现html中忽视了 source.php ,接下来我们访问 source.php

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

我们先看最后一段php代码:

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

empty — 检查一个变量是否为空

is_string — 检测变量是否是字符串

最后一段 php 代码的意思是:如果我们输入的文件名 不为空,是字符串,并且传过来的文件满足emmm类中的checkFile的这个函数的话 就会对给文件进行文件包含。否则输出一张滑稽图片

再看前半段代码:

 class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

&$page: 引用传递 变量

public static function checkFile(&$page) : public static function 静态方法 public static 静态属性

[]是PHP数组索引标识符号

isset() 函数用于检测变量是否已设置并且非 NULL

in_array() 函数搜索数组中是否存在指定的值。

语法

in_array(search,array,type)
参数描述
search必需。规定要在数组搜索的值。
array必需。规定要搜索的数组。
type可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。

mb_substr() 函数返回字符串的一部分,之前我们学过 substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()。

mb_strpos — 查找字符串在另一个字符串中首次出现的位置

在这段php代码中:
先建立一个叫 emmm 的类,建立了一个 静态方法 checkFile 并且是数值传递:

定义了一个变量 $whitelist (白名单数组)

一个是source.php 一个是hint.php

查看hint.php,发现:

flag not here, and flag in ffffllllaaaagggg

如果没有定义 p a g e 变 量 或 者 page变量或者 pagepage变量不是字符串,就输出 you can’t see it 并且返回false

如果在$page变量中搜索到 白名单里的东西 就返回true 换句话说,在搜索的时候我们要包含 source.php 或者 hint.php。

并且mb_substr函数会将 p a g e 变 量 会 截 取 从 第 零 位 开 始 到 m b s t r p o s ( _page变量会截取 从第零位开始 到 mb_strpos( pagembstrpos(page . ‘?’, ‘?’)

mb_strpos($page . ‘?’, ‘?’): $page . ‘?’ 会在后面自动对我们搜索文件路径添加一个 ?

mb_strpos($page . ‘?’, ‘?’) 整体的话,就是匹配第一次出现问号的位置。和前面的mb_substr函数一配合就会 从一开始截取到第一次问好的位置

例如:我们输入file=source.php?../…/…/…/flag

就会截取到 file=source.php?

截取完之后就又会进行一次判断 if (in_array($_page, $whitelist))

如果 $_page 在白名单里面就返true,换句话说就是检查我们输入的文件路径是否还包含 source.php或者hint.php

做题步骤

  1. 先查看 hint.php

    http://6e33302e-9f50-4d03-a55c-293092589c56.node4.buuoj.cn:81/hint.php

  2. 构造 我们的查询 flag 语句

    因为有 mb_substr() mb_strpos() 函数所以我们不能直接使用 问号 ,需要先对其进行 两次url编码

    ?file=source.php%253F../../../../ffffllllaaaagggg

    如果没有查询到flag,就接着查询下一个子文件夹 多添加一次 ../ 直到查见flag为止

在这里插入图片描述

BUU HCTF2018 WarmUP
yingyugo的博客
11-24 1351
开始BUUCTF受虐的第一天,好的,首先打开第一题,映入眼帘的就是这偌大的笑脸 然后ctrl+u出来源码看看 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-U
[HCTF 2018]WarmUp 1--详细解析
m0_56019217的博客
11-03 2522
is_string()判断参数是否为字符串。现在我们所在的界面是source.php,所以我们令file=hint.php,返回值为true,就能包含hint.php,查看该文件的内容。mb_substr()会截取问号之前的数据,也就是截取了hint.php带入白名单查询,查询结果为true,返回值为true.mb_substr() 用于截取字符串,第一个参数为字符串,第二个和第三个参数分别为起始索引和终止索引。checkFile()结果为true时,返回值为true.在当前界面包含file指向的文件。
BUUCTF [HCTF 2018]WarmUp1
meiqianchifanle的博客
12-10 722
打开题目之前发现有“PHP”与“代码审计”两种提示,心里大致有点数了,开始看题。
[HCTF 2018]WarmUp 1
su382483531的博客
05-02 512
今天做[HCTF 2018]WarmUp1 的题目,php代码看懂了,但是对于各位师傅构造的payload还是有些疑惑 payload如下 file=hint.php%253f/../../../../../../../../ffffllllaaaagggg
【BUUCTF】Web之[HCTF 2018]WarmUp 1
qq_45972928的博客
05-02 1327
1、首先打开题目链接 2、因为是php代码审计,所以我们尝试寻找代码。先查看网页源码 这里发现一个注释的php文件 3、尝试对source.php进行访问 4、出现了php代码,进行代码分析 ① 观察参数file,首先file不能为空,其次要满足是字符串类型 php if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFil.
BUUCTF[HCTF 2018]WarmUp 1
10-21
1. **源代码查看与漏洞分析**: 在CTF(Capture The Flag)竞赛中,查看源代码是获取服务器端脚本逻辑的重要手段。通过观察源代码,可以理解程序的运行机制、判断逻辑和潜在漏洞。例如,在提供的代码中,通过...
buuctf [HCTF 2018]WarmUp 1 解题思路
2301_76899943的博客
05-13 966
flag.php,先检测flag.php能否包含,不能就包含…/flag.php,以此类推。,就在参数page的末尾加上?substr函数的意思就是截取字符串,截取从第0个字符串开始 长度为strpod函数给出的数字 的字符串。检查源代码可以看到有source.php的提示,那么直接打开source.php。这里要注意这个include函数,如果文件无法读取,会向后读取文件。只允许包含白名单的文件,有source.php和hint.php。(实力较弱,如有表述错误的,恳请大佬指点~~!
[HCTF 2018]WarmUp1
qq_48008847的博客
07-16 637
题目打开如上,常规思路先F12看一下网页源码 看到有一个被注释掉的source.php 看一下这是个什么东东 发现是一串代码,下面来审计一下这段代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { //白名单列表 $whitelist = ["source"=&g...
[原题复现]HCTF 2018 Warmup
笑花大王
02-05 3094
HCTF 2018 Warmup 原题复现:https://gitee.com/xiaohua1998/hctf_2018_warmup 考察知识点:文件包含漏洞(phpmyadmin 4.8.1任意文件包含) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用协会内部的CTF训练平台找到此题 过程 访问页面查看源码发现注释里面的内容访问它 访...
[HCTF 2018]WarmUp
1ance's blog
11-17 1993
文章目录环境解题思路总结 环境 BUUCTF上web的第一题,启动靶机,访问链接。 ·http://f53eba82-0f2f-4f96-8120-1c4e8a4711c2.node4.buuoj.cn:81/ 解题思路 根据题目提示是代码审计。 查看源码,发现有提示source.php。 访问看看,果然发现php源码,接下来就是审计代码绕过了。 <?php highlight_file(__FILE__); class emmm { public sta
[HCTF 2018]WarmUp 1 【文件包含漏洞】
weixin_38832257的博客
08-17 2965
题目简介 题目名称:[HCTF 2018]WarmUp 1 题目平台:BUUCTF 题目类型:Web 考察知识点: 代码审计 本地文件包含漏洞 解题步骤 启动并访问靶机,前端只有一个滑稽的表情 右击或F12审计一下代码,可以看到source.php,我们访问一下该页面 source.php内容如下。 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&amp
[HCTF 2018]WarmUp1 (php代码审计详解
weixin_65739202的博客
12-12 2204
./../../../../../ffffllllaaaagggg,上面式子则检测到hint.php而后面的没有检测到。//则mb_substr()的原意是 检测并提取$page的值赋值给$_page 但是由于mb_strpos()我们可以添加?//而上面的判断则表示为: mb_strpos() 原意是查找 $page 的字符串一共有多少位 (不过我们可以通过传入?}//对传入参数 检测变量 isset()检测$page是否为空 is_string()检测$page是否为字符串。
BUUCTF-[HCTF 2018]WarmUp1
Monica的博客
09-03 3032
目录 题目: 知识点: 分析: 遇到的问题: 一、服务端会对传入的参数自动进行一次urldecode,并且对于不能url解码的字符串再次进行url解码,字符串不会变化 二、include相对路径问题 题目: 打开环境发现只有一个滑稽,日常查看源代码,发现有个source.php 访问url/source.php 得到源码 <?php highlight_file(__FILE__); class emmm { public sta...
WarmUp1
2401_82505448的博客
07-22 265
我们先看最下面的if语句:如果我们用REQUEST传入的file不为空且file是字符串且传过来的file满足checkFile 函数的话就包含了。这是一个文件包含的漏洞。mb_substr截取从第0位开始到mb_strpos($page . '?file传入里面要包含source.php hint.php。mb_strpos:去page加?我们查看一下hint 这其中告诉了我们flag的位置。第一次访问可能没有,我们可以多进行几次跨目录。先进行编码为%3F后解码为%253F。
buuctf[HCTF 2018]WarmUp 1
m0_73734159的博客
10-22 531
这里就是说一直返回上一级查找,直到查找到flag为止,最终返回到/root根目录,因为ffffllllaaaagggg原本是在hint.php文件里面嘛,所以说要一直往上一级目录找它的原始位置,4、“/”处于Linux文件系统树形结构的最顶端,我们称它为Linux文件系统的root,它是Linux文件系统的入口。/倒不是一定是6个,看你的flag具体在那个上一级目录了😉。”表示上一级目录,也可以用“…1、“.”表示当前目录,也可以用“./”表示。3、“~” 代表用户自己的宿主目录。
[HCTF 2018]WarmUp 1 PHP 代码审计
最新发布
02-28
### HCTF 2018 WarmUp 1 PHP Code Security Audit Vulnerabilities Analysis In conducting a security audit on the PHP code from HCTF 2018 WarmUp 1, several potential vulnerabilities can be identified that may compromise application integrity and confidentiality. #### Potential SQL Injection Flaw If user inputs are not properly sanitized before being used in database queries, an attacker could inject malicious SQL commands. For instance, consider this snippet: ```php $query = "SELECT * FROM users WHERE username='" . $_POST['username'] . "' AND password='" . md5($_POST['password']) . "'"; ``` This approach lacks parameterized queries or prepared statements, exposing the system to injection attacks[^1]. #### Weak Password Hashing Mechanism Using `md5` for hashing passwords represents a significant weakness since MD5 is considered cryptographically broken and unsuitable for further use due to extensive vulnerability research findings. A more robust algorithm like bcrypt should replace outdated methods. #### Lack of Input Validation Failure to validate input parameters allows arbitrary values through unchecked pathways into backend processes. An example might involve file uploads without strict MIME type checks or size limitations, leading to unauthorized resource access scenarios[^2]. #### Insecure Direct Object References (IDOR) When sensitive actions rely directly upon unverified identifiers passed via URLs or forms, there exists risk associated with IDOR issues where attackers manipulate these references gaining illegitimate privileges over resources they shouldn't have control over. To mitigate such risks effectively within PHP applications similar to those presented during CTF challenges, developers must adhere strictly to secure coding practices including but not limited to employing ORM frameworks for query construction, utilizing strong encryption algorithms alongside salting techniques when handling credentials storage securely as well as implementing comprehensive validation routines across all entry points ensuring only expected types/formats reach internal logic layers.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值