buuoj--[HCTF 2018]WarmUp

最新推荐文章于 2024-04-22 16:59:45 发布
最新推荐文章于 2024-04-22 16:59:45 发布
阅读量903 收藏
点赞数
分类专栏: web 文章标签: buuoj warmup hctf web 2018
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43619533/article/details/103432937
版权

buuoj中的第一题:[HCTF 2018]WarmUp

打开题目页面在这里插入图片描述
右键查看源码,发现提示source.php,转到source.php发现源码

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

上面是一个类(没学过PHP,大同小异嘛)
下面有个判断

if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }

只要通过这个判断就会执行file传递的参数的文件,想到可能时任意文件包含。

通过引入文件时,引用的文件名,用户可控,由于传入的文件名没有经过合理的校验,或者检验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。

再看if中的判断,file参数不为空&&是个字符串&&通过checkFile方法的检验。去看checkFIle方法。

public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }

这里逻辑也不是很复杂。
首先看到了提示的白名单,去看看hint.php
在这里插入图片描述

验证了猜想,任意文件包含漏洞。

checkFIle中有白名单,source.php和hint.php。
下面又是很多条件限制。一步一步看。

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

首先必须存在并且是字符串(必须使函数返回为true才能访问文件)

if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;

然后判断参数是否在白名单中;
mb_strpos()查找字符串在另一个字符串中首次出现的位置,即?在前面字符串中出现的位置
mb_substr()方法截断字符串。
然后和白名单比较。
又重复了一次上面的操作。
这个涉及到phpMyAdmin的一个洞CVE-2018-12613,由于PHP会自动urldecode一次,导致我们提交%253f(?的urlencode的urlencode)的时候自动转成%3f,满足if条件,%253f/就会被认为是一个目录,从而include。

? --> %3f --> %253f
payload: file=hint.php%253f/…/…/…/…/…/…/…/ffffllllaaaagggg
目录需要多跳出几次,慢慢尝试。

房東的猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUOJ Web [HCTF 2018]WarmUp
weixin_50287973的博客
11-06 318
这道是第一道web题,对我这个菜鸡来说还是收获不少 打开页面源代码提示 进入这个页面 得到代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
BUUCTF web WarmUp
m0_46315342的博客
07-12 324
BUUCTF web WarmUp 在做这个题目的时候,首先打开链接,看到的是 右击鼠标查看源码,可以发现有个隐藏的source.php文件 然后就在地址栏访问这个source.php文件,可以看到这个题目的后端源码: 这个一看就是需要代码审计,其实就是看懂代码在说个什么东西,然后我首先很懵,但是经过慢慢的抠函数,弄着弄着就懂了。其实这个后端: 1.我觉得首先应该弄清楚这个Php文件的结构的吧,例如:这个后端是由一个class emm()和一个if条件组成的,所以结构就很清晰。看到if语句里面调用了emm:
BUUOJ [HCTF 2018]WarmUp
qq_43622442的博客
04-11 688
BUUOJ [HCTF 2018]WarmUp 第一次参加ctf,这次头铁的报名了网鼎,hhh,不能给队伍拖后腿了,还是刷刷题。 从buuoj一题一题开始刷,第一题WarmUp。 1.打开网站,发现只有一个滑稽: 2.因为是做的web题,不太可能是隐写,F12看看源码: 3.看到这个source.php没有?访问一下看看: 4.也就是代码审计了,不过这个咋和phpmyadmin的文件包含漏...
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
最新发布
m0_62239233的博客
04-22 1366
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1668
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
buuoj 传统知识+古典密码 writeup
m0_73605862的博客
05-14 358
Step4:下一步是将这串字符进行古典密码解码,对于这种数据先猜测为凯撒密码。【来源】(buuoj)https://buuoj.cn/challenges#%E4%BC%A0%E7%BB%9F%E7%9F%A5%E8%AF%86+%E5%8F%A4%E5%85%B8%E5%AF%86%E7%A0%81。Step2:对照天干地支表将数字得出来为28 30 23 8 17 10 16 30,又因为背后写上了加甲子,一甲子是60年,所以最后得出来是88 90 83 68 77 70 76 90。
pytorch-gradual-warmup-lr:PyTorch的逐步预热学习速率调度程序
02-05
$ pip install git+https://github.com/ildoonet/pytorch-gradual-warmup-lr.git 用法 请参阅文件。 import torch from torch . optim . lr_scheduler import StepLR , ExponentialLR from torch . optim . sgd ...
4下unit2-Spring-is-warm.ppt
11-20
我们首先来看标题和描述,"4下unit2-Spring-is-warm.ppt",这表明这是一个关于四年级下学期第二单元关于春天的课程,主题是“春天是温暖的”。 在标签中提到的"4下unit2-Spring-i",暗示了这是春季单元的一部分,...
Hackerrank-solutiions-Problem-solving-WarmUp-Plus-Minus
04-15
【标题】"Hackerrank-solutiions-Problem-solving-WarmUp-Plus-Minus" 提供的是在 Hackerrank 平台上的问题解决策略,主要关注 "WarmUp" 部分的问题,其中包括了加号、减号以及可能涉及的其他数学运算。这个压缩包...
2020-swccdc-warmup
05-28
2020 SWCCDC预热 蓝队笔记 本自述文件的适用部分为: OVA凭证 oneadmin凭证 最低系统要求 opennebula vm ubuntu 20.04模板实例凭据 使用说明(针对蓝色团队) OVA凭证 ...计算机配置->管理模板->系统->设备防护修改将...
TICs-WarmUp
03-29
项目通过GitHub克隆获取,仓库名为"TICs-WarmUp",提供了实践操作的代码示例。下面将详细解释这个教程的主要内容和相关知识点。 首先,克隆仓库是软件开发中的常见操作,用于获取远程存储库的本地副本。在本案例中...
BUUOJweb刷题wp(一)
Theseus_sky的博客
07-16 837
[HCTF 2018]WarmUp(php&代码审计) 打开source.php康康 源代码:有注释的是从其他wp上面看来的 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) /* 传入了变量page,也就是我们刚刚传进来的file */ { // 这里定义了白名单
BUUCTF—WEB-WarmUp
热门推荐
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
BUUCTF [V&N2020 公开赛]warmup
BengDouLove的博客
04-14 822
sub_80A函数进去是初始化设置缓冲区没啥用 sub_84D进去是这样的 进去之后一大堆变量。。。不太想看,,就挑重点的吧 这个prctl 函数简单来说也是设置了沙箱规则 #include <sys/prctl.h> int prctl(int option, unsigned long arg2, unsigned long arg3, unsigned long ar...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1280
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUWeb刷题记录
dangejinghong的博客
04-23 686
但是,如果要接着直接查这个flag就会出现问题了,select等关键词被过滤了,所以我们只能另辟蹊径,根据从网上大佬的wp学习,可以将。file=phar://压缩包/内部文件 phar://xxx.png/shell.php (zip要用#隔开,这个用/)file=php://filter/read=convert.base64-encode/resource=xxxx.php。发现他将空格过滤了,不过通过网上学习,发现可以用一些字符绕过空格,例如。
buuctf -- warm up(远程文件包含漏洞)
qq_46485934的博客
09-25 1597
一.source.php 点开页面,是一个滑稽的表情。当然老规矩,右键审查页面源代码 发现了哥source.php,于是访问一下。 source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3074
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
buuctf之WarmUp
qq_38634097的博客
04-17 495
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开题一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
[HCTF 2018]WarmUp
08-29
[HCTF 2018]WarmUp是一个CTF比赛题目,其中涉及到一个叫做emmm的类。这个类中有一个名为checkFile的方法。checkFile方法的作用是对传入的$page参数进行检查。在方法中,首先判断$page是否存在并且是字符串类型,如果...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值