攻防世界——warmup

最新推荐文章于 2022-11-20 19:28:08 发布
最新推荐文章于 2022-11-20 19:28:08 发布
阅读量101 收藏
点赞数
分类专栏: 攻防世界 CTF 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31710331/article/details/119856817
版权

1.打开网页查看源代码,发现source.php

 2.开始代码审计,source代码如下

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

访问白名单出现的hint.php

 

3.构造payload 

既要保证checkfile返回true,又要将file传入的include语句中,我们从第三个if着手

第三个 if 语句,截取传进参数中首次出现?之前的部分,判断该部分是否存在于$whitelist数组中,存在则返回 true

payload:?file=hint.php?/../../../../ffffllllaaaagggg

4.解释后面的构造---重点

给出官方对include语句的说明

 当我们使用../访问文件时,/将之前的hint.php?给忽略了,只看后面定义的路径。至于用四次../,可以逐渐增加猜测,也可根据ffffllllaaaagggg形式猜测这是四次。

从而访问拿到flag

 

Wkingxc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】攻防世界 fileclude 解题详析(php伪协议)
等风来
07-31 4272
代码功能:检查通过GET请求传递的两个参数"file1"和"file2"。如果这两个参数都存在且非空,它将读取"file2"文件的内容,如果内容等于"hello ctf",则会执行"file1"文件。对于file1,我们可以使用 convert.base64-encode 过滤器来读取位于 flag.php 文件中的内容,并将其转换为 base64 编码的形式。php://input 是一个 PHP 的内置流(stream)封装器,用于从请求的正文(body)中获取原始的输入数据。
【愚公系列】2023年05月 攻防世界-Webwarmup
热门推荐
时光隧道
12-26 3万+
PHP源码审计是指对PHP编写的应用程序的代码进行仔细的分析和检验,以发现其中的漏洞和安全问题,并提出解决方案以确保应用程序的安全。这种审计可以帮助开发人员和企业识别潜在的安全风险,从而加强应用程序的安全性。通常,这种审计需要具备深厚的编程知识和安全专业知识,以便发现潜在的安全漏洞和风险。
[攻防世界 pwn]——warmup
Y_peak的博客
02-20 601
[攻防世界 pwn]——warmup 题目地址: https://adworld.xctf.org.cn/ 题目: 嘶, 碰过的第一个盲打的题, nc连上之后只有一个地址, 这个地址肯定是个有用的地址, 应该就是可以执行 system("/bin/sh")或者 system(“cat flag”)的地址。 提供了一个输入, 应该是可以进行栈溢出, 不然就太难了。尝试一下, 不过不知道要填充的长度也不知道是64位还是32位的。 我们只有挨个尝试, 写个exp如下: exploit from pwn i
[HCTF 2018]WarmUp
小飒的博客
09-09 149
[HCTF 2018]WarmUp 题目地址:https://buuoj.cn/challenges#[HCTF 2018]WarmUp https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=5442&page=1 右键源代码,看到源代码 <?php highlight_file(__FILE__); class emmm { public sta
攻防世界-adworld-fileclude-新手
32bin的博客
11-20 628
34最佳Writeup由 Haojie 提供WriteUP。
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952541
攻防世界---fileclude
m0_72447684的博客
10-11 1244
攻防世界---fileclude
攻防世界————fileclude(内含php伪协议菜鸟讲解)
weixin_62281892的博客
09-28 3990
文件包含以及涉及到的php伪协议
攻防世界 web篇(一)
weixin_51387754的博客
09-08 1653
攻防世界 是一群信息安全大咖共同研究的答题、竞赛、以游戏方式结合的一款新型学习平台,融入多种场景在线题型,集实战、理论、趣味于一体。
攻防世界fileinclude题解
henghengzhao_的博客
10-14 3324
攻防世界fileinclude题解,附带file_get_contents函数用法以及php伪协议详解
攻防世界--filemanager
qq_46263951的博客
01-05 1227
看到这里猜测是个文件上传漏洞,测试几次发现好像只能上传图片,rename只能更改文件名,但无法更改后缀。 随手扫了一下发现源码泄漏, 审阅rename代码 <?php /** * Created by PhpStorm. * User: phithon * Date: 15/10/14 * Time: 下午9:39 */ require_once "common.inc.php"; if (isset($req['oldname']) && isset..
攻防世界PWN之secret_file题解
seaaseesa的博客
11-10 1888
首先,我们看一下程序的保护机制 吓了一跳,几个关键保护全开。 然后,我们用IDA分析一下 好像很复杂的样子。以往的ROP这些都用不了。然而,只要这个条件成立,就可以执行popen了。 其中,我们发现v15是一个定值,在这里面被初始化,调试后发现是一个字符串9387a00e31e413c55af9c08c69cd119ab4685ef3bc8bcbe1cf82161119457127...
攻防世界fileclude
weixin_63611602的博客
08-28 1566
攻防世界
攻防世界-fileclude
m0_62094846的博客
10-05 1157
要file2满足条件file_get_contents($file2) === "hello ctf"才会执行file1。然后抓包,POST只保留hello ctf(如果直接在HackBar上写hello ctf,bp抓不了包,一定要加=)file1是最终要读取flag的,又是文件包含,用php://filter读取。不能让flag2直接等于hello ctf,要让hello ctf先包含进文件。所以可以用file2=php://input,POST写入hello ctf。然后base64解码。
攻防世界XCTF:warmup
末初的CSDN博客
03-14 1879
F12发现注释:<!--source.php--> <?php class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"...
攻防世界 warmup
最新发布
08-16
攻防世界Warmup阶段,你可能会面对一些简单的题目,如熟悉各类加密算法、理解基本的漏洞类型、掌握常用的工具和技术等。这些挑战旨在帮助你建立起一定的安全意识和技能,为后续更复杂的题目做好准备。 如果你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值