攻防世界-web高手进阶篇-warmup

已于 2023-08-06 15:22:21 修改
阅读量1.2w 收藏 43
点赞数 73
分类专栏: CTF 文章标签: 攻防世界 web ctf HCTF 2018 xctf
于 2020-02-06 19:14:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42016346/article/details/104199710
版权

目录

一、信息搜集

二、分析

三、构造payload

1、通过第二步来构造payload

2、通过第三步来构造payload

四、获取Flag

五、为啥能执行成功

一、信息搜集

打开题目链接后只有一个滑稽??(那就看看它里面有啥吧)

想啥呢,是审查源码啦

可以看到有注释source.php,访问后可以看到其源码

又发现一个hint.php文件,先访问再说

提示我们flag在ffffllllaaaagggg里面,此时题目已经完成一半啦

二、分析

接着看回source.php源码

可以看到最后的include 是可以动态构造参数的,那应该就是解题关键了

不过要经过三个判断

第一个:检查一个变量是否为空

第二个:是否为字符串

第三个:通过函数checkFile来检查

我们要构造的payload本身就满足前两点所以无视

重要是第三点的这个函数

函数作用是分三步检查传进来的参数是否满足白名单:

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

第一步:

只要我们传的参数是source.php或者hint.php则返回真(因为这一步写死了参数只能为白名单的值,所以无法利用)

如果不满足继续往下判断

第二步:

仔细看mb_strpos的第一个参数是:$page.'?',这结果就是在参数后面拼接一个'?'

接着第二个参数'?',就是要查找第一个参数字符串中首次出现'?'的下标,如下图

获得下标就是为了利用mb_substr提取page参数中第一个?前面的字符串

思考:如果我们在mb_strpos函数执行前就对参数page添加'?'会怎么样呢

最后将得到新的值进行白名单判断

如果还不满足继续往下判断

第三步:

先把传进的参数做urldecode

接着就和第二步一样

都不满足就输出"you can't see it"并且返回假

总结:我们需要得到checkFile函数返回true且需要带上

三、构造payload

要想满足这些条件那我们传的参数就只能是这种形式

($_REQUEST 是通过 GET,POST 和 COOKIE 输入机制来传递参数,下面偷懒就用get方式传值)

1、通过第二步来构造payload

payload_1:source.php?file=source.php?(文件包含路径)

payload_2:source.php?file=hint.php?(文件包含路径)

解析:自己悟

通过前面的分析结合下图应该不难理解,你是最棒的(ง •_•)ง

2、通过第三步来构造payload

如果闲着无聊也可以满足第三种,就是双重url编码,传过去的时候会自动解码一次,再加上函数的一次就会满足条件

http://111.198.29.45:48818/source.php?file=source.php%253f(%253f就是?的两次url编码)

http://111.198.29.45:48818/source.php?file=hint.php%253f

符合条件后include得到得值就变成:

include source.php?(payload)

因为source.php?(或hint.php?)是固定不能改的,那么我们能利用的漏洞只有本地文件包含了

(本人技术比较菜也只能想出这种了,如果还有别的方法还望大佬们赐教)

四、获取Flag

flag文件名也知道了就差路径不知道,一个一个试可以得到

source.php(或hint.php)?/../../../../../../ffffllllaaaagggg

ok!flag get√

五、为啥能执行成功

可能会有疑问为啥include source.php(或hint.php)?/../../../../../../ffffllllaaaagggg能执行成功

看官方对include的定义

重点在于这两句话:

被包含文件先按参数给出的路径寻找,如果没有给出目录(只有文件名)时则按照include_path 指定的目录寻找。

如果定义了路径——不管是绝对路径(在 Windows 下以盘符或者 \ 开头,在 Unix/Linux 下以 / 开头)还是当前目录的相对路径(以 . 或者 .. 开头)——include_path 都会被完全忽略

include_path,简单理解就是类似系统中的PATH环境变量,在文件包含在没有指出路径就会在前面补充这个include_path,从而形成完整的绝对路径

比如:include_path设置为/var/www/,在执行include "flag.txt",路径就是/var/www/flag.txt

由于我们构造的payload:”source.php?/../../../../../../ffffllllaaaagggg“包含路径

所以会忽略include_path直接按照我们路径去寻找。没错虽然这个payload很奇怪但对于include来说就是一个路径,由于不是/开头,所以还是个相对路径,过程如下

假设source.php所在目录为:/1/2/3/4/5/var/www/html/source.php

1、"source.php(或hint.php)?/":进入这个目录,是的哪怕这个目录不存在,因为include会一直尝试到最后才会报错。这样我们当前路径为:"/1/var/www/html/source.php?/"

可能这个时候又有聪明的小伙伴疑问:啊?这个"?"不会当成参数吗?

我们可以看到官方对include定义的这句话:

进到include_path定义后就会发现:string

所以你加tm一百个问号都是string当成路径解析

2、"../":返回上一级,当前目录为"/1/var/www/html/",回到了php所在路径

3、"../":同理,当前路径为"/1/var/www/"

4、"../":同理,当前路径为"/1/var/"

5、"../":同理,当前路径为"/1/"

6、"../":同理,当前路径为"/",回到根目录,最后找到ffffllllaaaagggg这个文件

 可以配合我复现的环境来理解:

 环境版本:php5.6.36+Apache2.4.55

可以看到我的source.php是和1.txt同目录/var/www/html/下,而且没有1这个文件夹

路径:1/../1/../1.txt

根据前面的分析,include解析步骤就是

1、/var/www/html/1

2、/var/www/html

3、/var/www/html/1

4、/var/www/html

最后找到1.txt

再来一个环境版本:php8.3.0beta1+Apache2.4.55

路径:1/../zhe shi php830/../1.txt

根据前面的分析,include解析步骤就是

1、/var/www/html/1

2、/var/www/html

3、/var/www/html/zhe shi php830

4、/var/www/html

最后找到1.txt

当理解了这个之后,你就能有更骚的路径:

payload:source.php?要不是为了过白名单谁想这样开头/../../../真无语啊这题/../../让我测了这么多环境/../下头!/../不过CTF Fun!/../../ffffllllaaaagggg

-----------------------------------------------------------------我是分割线--------------------------------------------------------------

看完了觉得不错就点个赞或者评论下吧,感谢!!!

如果本文哪里有误随时可以提出了,收到会尽快更正的

iZer_0
关注
专栏目录
攻防世界WEB——warmup
Zeker62的博客
08-17 545
题目:warmup,没有提示,点进去,一个表情包: 源代码里提示了一波,有个source.php的文件可以看 打开source.php,好家伙,代码审计 观察到有个hint.php的文件:打开它 并不是flag,但是提示我们flag在ffffllllaaaagggg里,看来要回到代码审计,仔细看代码了: 代码如下: <?php highlight_file(__FILE__); class emmm { public static function chec
攻防世界-web高手进阶区
zji
04-25 6578
文章目录攻防世界-web高手进阶区一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶区 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界Web warmup
DG_s1mple
01-02 868
这一题主要是利用了include的特性如果include的文件名中含有“/”,那么它会识别其为一个带目录的文件,只有最后一个“/”后的字符串对应的文件会被包含,而前面的字符串都只是在指定目录意思是,如果我们的payload是这样的对于include来说,就只会识别"/"后面的内容,变成了解了这个特性之后,我们就可以开始做题了。
攻防世界-web题型-9星难度汇总-个人wp
最新发布
DamnVanish的博客
08-24 1073
攻防世界web题型9星难度
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 738
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
攻防世界WEBwarmup
qq_54929891的博客
09-03 1185
warmup热身,打开题目就是一个大大的滑稽,便打开F12看看了 发现注释了一个source.php,便进入这个地方看看去 发现一大串代码,这种情况下我都是不看函数的,直接先看后面 他是一个if语句判断,通过的条件是file传入的get参数存在,并且是字符串形式,并且还要让emm类的checFile语句返回为真,才能让file参数包含进去(三个条件缺一不可),否则输出一个图片,其实一开始我在想会不会flag就在这个图片里面,前面都是误导我的,然后直接复制粘贴那个链接,结果就是滑稽的..
攻防世界-warmup详解
wwxxss
11-10 2375
warmup详解
攻防世界-Web进阶区-warmup题解
Jollowin的博客
11-26 843
warmup题解 我们进入到题目界面会看到一张猥琐的笑脸,假装没看到他直接按F12。 这里我们发现了一条线索:source.php。 好家伙,那我们不妨到source.php看一看: 进行代码审计,初步发现我们可以提交一个名为file的变量,若变量file的值为source.php或hint.php则会执行include $_REQUEST[‘file’]。 那我们不妨令file=hint.php看一看。 1.如上图我们发现底部出现了一行提示,那我们现在的目的就变成了让 include $_REQUE
攻防世界-web进阶区
楼阁de猫的博客
10-30 980
目录baby_webTraining-WWW-Robots baby_web 题目描述:想想初始页面是哪个 打开链接看到这个界面 这里有两种解法 法一:我们输入index.php ,就会立即跳转到1.php 那我们就对index.php抓包看看 在请求头看到flag:flag{very_baby_web} 法二:题目提示说初始界面,但是url后面会自动跳转到1.php,我们可以在控制台找到初始界面, 按F12进入控制台点开原始的网址就可以看到 Training-WWW-Robots 打开链接是这样一个
攻防世界web解题[进阶](二)
weixin_46703850的博客
03-05 739
攻防世界web解题[进阶](二)
攻防世界Web进阶篇2(3分题)
chuxuezheerer的博客
02-07 635
3分题 一.Web_python_template_injection 二.Web_php_unserialize 三.php_rce 四.Web_php_include 五.ics-06 六.warmup 七.lottery 八.mfw 九.web2 十 .PHP2
攻防世界---web---warmup
2201_75556700的博客
05-19 271
5、访问hint.php,提示flag在ffffllllaaaagggg这个文件下。2、查看源码,发现有个source.php。3、访问该文件,得到这一串代码。6、构造payload。
攻防世界warmup详解
bjml_的博客
11-14 863
打开场景只有一个滑稽,没有任何描述。
攻防世界——Web——warmup
慎铭的博客
02-23 264
  查看源码,提示source.php文件,打开后代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($pa
攻防世界warmup (代码审计)
2302_79800344的博客
04-02 680
【代码】【攻防世界warmup (代码审计)
攻防世界】六、warmup
Hi~ 土拨鼠
09-10 1199
步骤 首先打开场景,发现首页只显示了一张打不开的图片: 我们使用burp进行抓包,然后查看它返回的响应数据包: 发现了线索:source.php 访问给出的线索页面,得到了源码: 进行源码分析,大致可以看出本题是要用到文件包含,而且白名单里显示出了另一个页面hint.php,访问此页面: 得到了flag的线索 接下来对源码进行仔细的分析: <?php highlight_file(__FILE__); //__FILE__常量返回文件的完整路径和文件名,高亮显示 cl.
攻防世界-web-warmup
wuh2333的博客
05-24 380
攻防世界warmup
攻防世界】--warmup---(详细操作)做题笔记
qq_43715020的博客
06-09 1674
攻防世界-warmup-(详细操作)做题笔记
攻防世界web warmup 详解
m0_52663093的博客
11-11 497
一 解题思路 我们进来之后会发现有一个滑稽表情哦 我的思路就是先点进去查看源代码 源代码如下: 二 详细步骤 我们打开源码之后 首先想到的就是去访问source.php 源码如下: 在这里我思考了好久 找到了一个php文件 于是同样思路继续访问 我们可以看到如下结论 在这里可以想到给了4个f l a g 于是我们可以试一下payload构造 简单说就是include文件包含是遇到 …/…/会将以.开头,则解析器会在当前目录的父目录下寻找该文件,所以我们要进行转义。或者...
攻防世界---Web---新手模式---backup
11-11
题目描述:在攻防世界Web新手模式中,有一道名为backup的题目。该题目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者使用Burp Suite等工具来获取到密码。获取到密码后,我们可以访问备份文件,查看其中的内容,找到flag。 以下是获取密码和查看备份文件的Python代码: ```python import requests # 访问网页获取密码 url = 'http://your-ip/backup/' response = requests.get(url) password = response.text.split('password is ')[1].split('<')[0] # 访问备份文件获取flag url = 'http://your-ip/backup/flag.php' response = requests.get(url, auth=('admin', password)) flag = response.text print(flag) ```
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值