buuctf -- warm up(远程文件包含漏洞)

最新推荐文章于 2024-08-17 08:15:00 发布
最新推荐文章于 2024-08-17 08:15:00 发布
阅读量1.7k 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46485934/article/details/108785285
版权

一.source.php

点开页面,是一个滑稽的表情。当然老规矩,右键审查页面源代码
在这里插入图片描述在这里插入图片描述发现了哥source.php,于是访问一下。

source.php

 <?php
highlight_file(__FILE__);
class emmm
{
    public static function checkFile(&$page)
    {
        $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
        if (! isset($page) || !is_string($page)) {
            echo "you can't see it";
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }
        echo "you can't see it";
        return false;
    }
}

if (! empty($_REQUEST['file'])
    && is_string($_REQUEST['file'])
    && emmm::checkFile($_REQUEST['file'])
) {
    include $_REQUEST['file'];
    exit;
} else {
    echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}  
?>

二.hint.php

扫了一眼上面的代码,发现个hint.php

在这里插入图片描述
flag not here,and flag in ffffllllaaaagggg,猜测flag应该是在ffffllllaaaagggg 中

三.代码审计

这是个phpmyadmin 4.8.1 远程文件包含漏洞
主体部分:
if (! empty(KaTeX parse error: Expected 'EOF', got '#' at position 20: …UEST['file']) #̲#不能为空 &…_REQUEST[‘file’]) ##是字符串
&& emmm::checkFile($_REQUEST[‘file’]) ##上面checkfile返回为true
) {
include $_REQUEST[‘file’];
exit;
} else {
echo “
<img src=“https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg” />”;
}

  • 1.判断传入的file不能为空
  • 2.并且是字符串
  • 3.checkFile()返回true

满足以上三点才可包含文件

分析 checkfile()函数(重点,核心)
首先是设置了个白名单
第一个if,判断page变量是否为空,是否是字符串
第二个if,判断传入的page是否在白名单中
第三个if,截取page ?之前的字符赋给_page,判断_page是否在白名单中
第四个if,对page进行一次url解码并赋给_page,截取_page ?之前的字符赋给_page,判断_page是否在白名单中,因此需传入二次编码后的内容,就可以使checkfile返回true。
两种payload的情况:

  • 不满足第一个if,满足第三个if
  • 不满足第一个if,满足第三个if
    传入?file=hint.php%253f…/…/…/…/…/…/…/…/ffffllllaaaagggg,因为服务器会自动解一次码,所以 p a g e 的 值 为 h i n t . p h p page的值为hint.php%3f../../../../../../../../ffffllllaaaagggg,又一次url解码后, pagehint.php_page的值为hint.php?../…/…/…/…/…/…/…/ffffllllaaaagggg,然后截取问号前面的hint.php判断在白名单里返回true。

满足第二个if即为?file=source.php,? file=hint.php,即访问source.php,hint.php的情况

四.构造payload

payload:
file=hint.php?/../../../../../../../../ffffllllaaaagggg(第一种payload情况) file=hint.php%253f/../../../../../../../../ffffllllaaaagggg

这两个payload都可以,只是返回true的地方不一样

例:
在这里插入图片描述拿下!!!
在这里插入图片描述

补充(目录穿越)

漏洞原理:

在Unix操作系统上,../ 是一个标准的返回上一级路径的语法;

在Windows操作系统上, ../ 和 ..\ 都是返回上一级的语句。

若web要显示一个商品的图像,有时候开发者会用通过HTML加载,如:

在这里插入图片描述

使用filename参数加载图像文件,图片文件位置可能映射在 /var/www/images/ 上,所以真实的路径是 /var/www/images/214.png

这就导致了攻击者可以读取服务器上的任意文件:

https://www.*****.com/loadImage?filename=…/…/…/etc/passwd

filename的参数值与真实路径组合起来就是:

/var/www/images/…/…/…/etc/passwd

其等价于:

/etc/passwd
详细请见:
大佬的blog

软大彭少
关注
pytorch-gradual-warmup-lr:PyTorch的逐步预热学习速率调度程序
02-05
$ pip install git+https://github.com/ildoonet/pytorch-gradual-warmup-lr.git 用法 请参阅文件。 import torch from torch . optim . lr_scheduler import StepLR , ExponentialLR from torch . optim . sgd ...
BUUCTF-WarmUp
硫酸超的博客
11-20 5179
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
BUUCTF web题目 之WarmUp
m0_54993799的博客
12-10 1202
BUUCTF web题目之WarmUp
【CTF刷题3】ctfshow刷题web部分wp(2)
最新发布
star3119391396的博客
08-17 484
题目来源:ctfshow菜狗杯。
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
m0_62239233的博客
04-22 1526
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 407
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
buuctfWarmUp
qq_38634097的博客
04-17 594
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开题一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
serverless-plugin-warmup:在冬天保持lambda温暖。 :hot_springs:
01-30
无服务器热身插件 :hot_springs: 冬季请确保您的Lambda保暖。... 取暖器正在定义custom.warmup在serverless.yaml文件: custom : warmup : officeHoursWarmer : enabled : true events : - schedule :
2020-swccdc-warmup
05-28
本自述文件的适用部分为: OVA凭证 oneadmin凭证 最低系统要求 opennebula vm ubuntu 20.04模板实例凭据 使用说明(针对蓝色团队) OVA凭证 用户名: root 密码: ccdc oneadmin凭证 用户名: oneadmin 密码: ...
refactor-gym-warmup-202002
04-15
重构线上练功房热身编程题 本项目为ThoughWorks内部【敏捷工程实践系列】之「重构」线上练功房热身编程题,涵盖两个小题目,一道是重点是关于TDD,一道重点关于重构,两道题业务复杂度相对简单,预估花费 0.5 ~ 1...
2110524-Cloud-Warm-up-Project
03-14
【标题】"2110524-Cloud-Warm-up-Project" 是一个与云计算预热项目相关的学习资源,可能是一个课程作业或者实战练习,旨在帮助初学者或开发者掌握云计算的基本概念和技术。 【描述】虽然描述部分仅是项目名称的重复...
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 741
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
BUUCTF web之WarmUp 源代码详解
内心不种满鲜花就会长满杂草
11-18 2437
前言前言访问除了一张滑稽图,就没其他的了查看源码,有一个注释了的 source.php,可以尝试直接访问一下。同时进行目录扫描访问source.php,里面包含php代码,题目说了是php代码审计,那就先从这里进行分析提取其中的php代码代码分析1. 代码整体结构分析前面两个条件很好满足,只需要 source.php?file=字符串 ,即可。所以重点需要让checkeFile函数返回true,则会进行文件包含2. chechkFile()函数分析。
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3194
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
ctf-web-newphp
god_001的博客
04-30 674
题目地址:跳转提示 打开题目网址后,发现出现一段php代码: <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); highlight_file(__FILE__); class evil{ public $hint; public function __construct($hint){ $this->hint = $hint; } pu.
CTFHub | 远程包含
尼泊罗河伯的博客
06-13 2328
远程文件包含(Remote File Inclusion,简称RFI)是一种常见的安全漏洞,它可以允许攻击者远程执行恶意代码或获取敏感信息。攻击者可以通过利用应用程序中易受攻击的包含程序来引入远程文件,这些文件通常包含恶意代码或其他危险的操作。如果应用程序没有正确处理和验证用户输入,那么攻击者就可以通过注入恶意代码来利用这个漏洞
buuctf----warmup_csaw_2016
Nike_name的博客
06-14 265
get栈溢出
BUUCTF——Warmup
weixin_44866139的博客
04-30 1411
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
buuctf--web篇01WarmUp
Xor0ne
06-14 803
0x01 [HCTF 2018]WarmUp 参考链接:https://blog.csdn.net/zouchengzhi1021/article/details/104173137 打开源码,发现source.php字样,添加在后面,然后就看见了php代码。如下: <?php highlight_file(__FILE__);//highlight_file() 函数对文件进行语法高亮显示。 class emmm { public static functio
progress = float(current_step - num_warmup_steps) / float(max(1, num_training_steps - num_warmup_steps))
05-13
具体来说,如果当前步骤小于等于预热步数(num_warmup_steps),则进度为 0;如果当前步骤大于等于总的训练步骤数(num_training_steps),则进度为 1;否则,当前进度等于已经完成的训练步骤数除以总的训练步骤数...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值