BUUCTF-WarmUp 1

最新推荐文章于 2024-08-28 21:17:21 发布
最新推荐文章于 2024-08-28 21:17:21 发布
阅读量492 收藏 1
点赞数
分类专栏: BUUCTF-wp 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37450949/article/details/120129219
版权
本文揭秘了PHP代码审计中如何通过理解`emmm::checkFile`函数逻辑,利用`mb_substr`和`urldecode`绕过文件名白名单,成功访问隐藏的flag。关键在于巧妙控制URL参数位置,实现flag获取。
摘要由CSDN通过智能技术生成

根据提示,本题主要是以php代码审计为主
开启靶机后进入靶机请添加图片描述
发现什么都没有
打开源码请添加图片描述
发现注释中有一个提示,打开提示所在页面

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

出现php代码
通过查看代码发现,此代码中存在参数 file ,并存在白名单,白名单中只有source.php hint.php
使用参数访问hint.php
请添加图片描述
发现flag在名为 ffffllllaaaagggg 的文件中,但是参数会经过 emmm 类的 checkFile 函数检查
检查中存在

$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;

先看几个函数:

  • mb_substr(): 函数返回字符串的一部分。substr() 函数,它只针对英文字符,如果要分割的中文文字则需要使用mb_substr()。
    注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。
  • mb_strpos(): 查找字符串在另一个字符串中首次出现的位置
  • in_array() 函数搜索数组中是否存在指定的值。
    注释:如果 search 参数是字符串且 type 参数被设置为 TRUE,则搜索区分大小写。
  • urldecode(): 解码已编码的 URL 字符串

通过检查发现,可以通过绕过的方式绕过白名单,且只能在后两个 true 中操作
我们则需要控制 ? 的位置来控制截断

payload

http://8a636392-b1c3-4fb0-a86f-2ac336df4c24.node4.buuoj.cn:81/source.php?file=hint.php?/../../../../../../ffffllllaaaagggg

或使用编码后的url,由于浏览器会解码一次,后端代码中有 urldecode 函数则 payload 中的 ? 需要经过二次编码,既 %253f 的形式

http://8a636392-b1c3-4fb0-a86f-2ac336df4c24.node4.buuoj.cn:81/source.php?file=hint.php%253f/../../../../../../ffffllllaaaagggg

请添加图片描述
得到flag

不想弹solo
关注
专栏目录
BUUCTF—WEB-WarmUp
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
BUU HCTF2018 WarmUP
yingyugo的博客
11-24 1192
开始BUUCTF受虐的第一天,好的,首先打开第一题,映入眼帘的就是这偌大的笑脸 然后ctrl+u出来源码看看 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-U
BUUCTF】[HCTF 2018]WarmUp 1
最新发布
qq_44761422的博客
08-28 1380
tips:include函数有这么一个神奇的功能:以字符‘/’分隔(而且不计个数),若是在前面的字符串所代表的文件无法被PHP找到,则PHP会自动包含‘/’后面的文件——注意是最后一个‘/’。这里的ffffllllaaaagggg是在hint.php中发现的,显然flag在这个文件里。31 //第二次过滤问号的函数(如果$page的值有?37 //第三次检测传进来的值是否匹配白名单列表。6 //白名单列表。访问hint.php
BUUCTF-[HCTF 2018]WarmUp1
Monica的博客
09-03 2554
目录 题目: 知识点: 分析: 遇到的问题: 一、服务端会对传入的参数自动进行一次urldecode,并且对于不能url解码的字符串再次进行url解码,字符串不会变化 二、include相对路径问题 题目: 打开环境发现只有一个滑稽,日常查看源代码,发现有个source.php 访问url/source.php 得到源码 <?php highlight_file(__FILE__); class emmm { public sta...
BUUCTF: [HCTF 2018]WarmUp 1
emdog的博客
10-21 2640
1、打开链接,只有这个笑脸,首先想到的肯定是查看源码 2、按下F12或者是Ct+U查看源码,如下显示,可以看到有source.php注释 3、通过在原URL后添加/source.php,可查看到如下内容,进行代码审计,分析源码。 <?php highlight_file(__FILE__); class emmm { //传入变量,也就是file,赋值给page public static function checkFile(&$page
BUUCTF[HCTF 2018]WarmUp 1
Pz1o的博客
05-05 7804
1.HCTF2018(代码审计) 分析过程 打开之后看见源代码有source.php,直接看source.php 看了一会代码是发现有file等,就想到了文件上传,然后看代码。 首先是有一个checkfile函数 先定义了白名单,只有source.php和hint.php。之后是一个判断是否是空和字符串的if,不是就返回false,还有一个判断,是否在白名单里的if。再往下看, mb_sub...
BUUCTF——Warmup
weixin_44866139的博客
04-30 1416
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
[BUUCTF-web] warmup
qq_45766280的博客
08-12 151
BUUCTF-web warmup知识点题目 知识点 php代码审计 phpmyadmin 4.8.1的一个远程文件包含的漏洞 目录穿越 题目 打开靶机,只有一张图,先F12 有东西,转到这个文件中 有代码,代码审计没跑了 先来看看代码 里面有设置白名单 $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; 去hint.php里看看 果然没有那么简单,还是回去老老实实的看代码吧 <?php highlight_file(_
一天一题-BUUCTFwarm up
qq_42728977的博客
08-20 1657
拿到题目,查看源码 看到source.php,查看其内容 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)//创建函数,&是引用,影响原值 { $whitelist = [...
BUUCTF - PWN】warmup_csaw_2016
古月浪子的博客
03-19 3275
checksec一下,发现啥保护也没开 IDA打开看看,又是明显的栈溢出漏洞,看到v5的长度为0x40、后门函数的地址为0x40060d from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.s...
BUUCTF--WEB
书山有路勤为径,学海无涯苦作舟
06-28 1276
可以猜测,这个输入框是搜索当前数据库里的表id号应该,回显得数据就是表words里的两个字段id和data,但是我们flag在当前数据库的。他的后端既然能做到数字回显字母不回显,说明有一个 或 结构,而且不直接回显flag,但作为一道题目,from一定是from flag。mb_substr($page,n,m):返回page中从第n位开始,到n+m位字符串的值。再跳转到新的页面什么也没有就结束了,所以在这个页面,我们请点击抓包,就能发现他的秘密。内联函数:将指定的函数体插入并取代每一处调用该函数的地方。
buuctf [HCTF 2018]WarmUp 1 解题思路
2301_76899943的博客
05-13 507
flag.php,先检测flag.php能否包含,不能就包含…/flag.php,以此类推。,就在参数page的末尾加上?substr函数的意思就是截取字符串,截取从第0个字符串开始 长度为strpod函数给出的数字 的字符串。检查源代码可以看到有source.php的提示,那么直接打开source.php。这里要注意这个include函数,如果文件无法读取,会向后读取文件。只允许包含白名单的文件,有source.php和hint.php。(实力较弱,如有表述错误的,恳请大佬指点~~!
buuctf--web篇01WarmUp
Xor0ne
06-14 810
0x01 [HCTF 2018]WarmUp 参考链接:https://blog.csdn.net/zouchengzhi1021/article/details/104173137 打开源码,发现source.php字样,添加在后面,然后就看见了php代码。如下: <?php highlight_file(__FILE__);//highlight_file() 函数对文件进行语法高亮显示。 class emmm { public static functio
BUUCTF——[HCTF 2018]WarmUp 1
小白一枚多多关注的博客
03-17 2527
这道题很有意思,因为它这道题和攻防世界中的某道题相似,可以说几乎做法都一样,都是php代码审计,在这里我们刚进入环境是一张笑脸 一般在打ctf中要是一个网页中只有一张图片我们首先想到的肯定是图片里面藏着某个数据(某年某个ctf比赛就是这样的),但这个不一样,因为题目已经提示了我们这里是php代码审计,所以我们就用各种手段来获取有利用价值的信息 可以看见它的源代码处有一个被注释掉的php文件,我们先去访问一下看一下是否能被打开 打开后就可以看见一堆的php代码,现在我们就可以正式的来解体了 这里是用f
Buuctf WarmUp1
qq_51802152的博客
12-24 266
buuctf 滑稽的笑脸 也是一道简单的注入题
BUUCTF-Warmup
keaidxxn的博客
01-03 174
首先看到初始页面,查看下元素: 发现有一个source.php的注释,试着访问下: 这段代码可以去看下大佬的解释:大佬博客 之后我们访问下hint.php: 发现这里提示了一个ffffllllaaaagggg,结合之前的source.php里的代码,由此可知这是一个文件包含,于是构造下url: http://bd518e83-a15c-4d8f-87f6-9b7518657926.node3.buuoj.cn/source.php?file=hint.php?/../../../../../ffffl
buuctf [HCTF 2018]WarmUp1
2302_80009791的博客
02-07 518
本题考查的知识点有:php源码审计,url过滤
BUUCTF】[HCTF 2018]WarmUp1
aoao331198的博客
03-07 165
一道php代码审计题目 打开网页源代码,发现提示访问/source页面 想要看到某个文件得通过checkFile函数 第一步page要在白名单里面 查看hint 预备知识 mb_substr() strpos 字符串拼接用'.' 第二步这里的代码含义就是将page后面加上?,然后将第一次出现?前的字符串赋值给_page,然后_page是否在白名单中 第三步只比第二步多了一个将url编码,所以对?我们进行双重url编码即可 ...
解释代码:def adjust_learning_rate(optimizer, current_epoch, max_epoch, lr_min=0, lr_max=1e-3, warmup=True): warmup_epoch = 10 if warmup else 0 if current_epoch < warmup_epoch: lr = lr_max * current_epoch / warmup_epoch else: lr = lr_min + (lr_max-lr_min)*(1 + math.cos(math.pi * (current_epoch - warmup_epoch) / (max_epoch - warmup_epoch))) / 2 for param_group in optimizer.param_groups: param_group['lr'] = lr
03-27
函数首先根据 warmup 参数决定是否启用学习率预热,将预热轮数设为 10。如果当前轮数小于预热轮数,则学习率 lr 会从 lr_min 逐渐增加到 lr_max,以避免模型在训练初期过度拟合。如果当前轮数大于等于预热轮数,则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不想弹solo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值