BUU_warm_up

最新推荐文章于 2023-07-13 11:42:27 发布
最新推荐文章于 2023-07-13 11:42:27 发布
阅读量250 收藏 1
点赞数
分类专栏: BUU
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46635165/article/details/108801001
版权

考察点:远程文件包含利用漏洞

打开题目网址,提示代码审计,直接审查源码:

在这里插入图片描述访问source.php,得到源码:

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

审查源码发现一个 hint.php ,尝试访问获得一个关于flag的提示:

在这里插入图片描述
查阅大佬们的 wp, 才明白这题是关于 php文件包含漏洞;

代码段分析:

 if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }

这里先分析最后一个if , 需要满足三个条件,才对文件进行文件包含:

  • !empty() ,传入字符不能为空;
  • is_string() ,传入的字符为字符;
  • 满足 checkFile() ,即 checkFile() 返回 TURE;

前两个条件满足很简单,最关键的是 checkFile() 这个函数的满足,分析checkFile() 函数:

  • 第一个if,$page为非空字符串即可绕过;
  • 第二个if,判断 $page 是否在 whitelist 这个数组里面;这个if主要用于题目给出源码以及flag位置提示的需要;
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );

这段代码,首先 使用 mb_strpos() 函数,给 $page 拼接 ? ,然后返回到 ? 的位置;再用 mb_substr() 函数,截取从 $page 开头到 ?前一个字符的子串,将截取的子串赋给 $_page;

  • 第三个if,将 $_page 使用 in_array() 函数检测是否存在于数组 whitelist 中,如果存在,返回 TRUE;
            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );

urldecode() ,将$_page进行一次 url 解码,然后是给 $_page 拼接 ? ,然后在截取到 ? 的子串再赋给 $_page;

  • 第四个if,仍然是判断 $_page 是否在 数组中,成立返回TRUE;

至此整个代码分析过程结束;

接下来,构造 payload,两种方法利用远程文件包含漏洞,进行目录穿越:

  • 第一种方法:绕过第一个if,满足第三个if

payload: ?file=hint.php?/../../../../ffffllllaaaagggg

分析:此时,$page=hint.php?/…/…/…/…/ffffllllaaaagggg, 被送入mb_substr() 和 mb_strpos() 做处理后,使 $_page = hint.php , $_page再被送入第三个 if 做判断,显然 hint.php 在whitelist 数组中 ,checkFile() 函数返回 TRUE;

  • 第二种方法:绕过第一个if,满足第四个if

?file=hint.php%253f/../../../../ffffllllaaaagggg

分析:此时,$page=hint.php%253f/…/…/…/…/ffffllllaaaagggg,url首先对传参进行一次解码,使得 $page=hint.php%3f/…/…/…/…/ffffllllaaaagggg;因为 ? 进行了二次url编码,所以第三个if不成立, $page 被送入urldecode(),再次被解码,使得 $page=hint.php?/…/…/…/…/ffffllllaaaagggg,最后 $_page=hint.php ,在 数组 whitelist 中,checkFile() 返回TRUE;

在这里插入图片描述
关于文件包含漏洞以及目录穿越请参阅:

目录穿越
目录穿越
文件包含

我在干饭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF—WEB-WarmUp
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
关于buu warmup的深入理解
qq_51425032的博客
05-19 438
关于buu warmup的深入理解 打开页面,一个滑稽,查看源码,得到source.php,输入得到源码: <?php //首先测试一下in_array()函数的绕过方法 //$str=["heel","zzy"]; //var_dump(in_array("heel?f",$str)); highlight_file(__FILE__); class emmm { public static function checkFile(&$page)
BUUCTF学习笔记-WarmUp
weixin_42271850的博客
03-04 923
BUUCTF-WarmUp 时间:2020/03/04 考点:代码审计         先看看题目的描述,写着PHP和代码审计,估计是那种直接给一段PHP源代码,然后构造请求来获得flag。         打开题目链接只有一...
BUU-warmup_csaw_2016
qq_45771413的博客
04-27 180
查看保护 啥都没保护[滑稽] IDA 很明显的gets输入漏洞,撑爆v5即可 cat flag也很贴心地加了system…… EXP from pwn import * p=remote('node3.buuoj.cn',25059) p.sendline('A'*64+'a'*8+p64(0x400611)) p.interactive() flag flag{cda4b354-70c5-4017-bc79-df3428ae7722} ...
BUUCTF——Warmup
weixin_44866139的博客
04-30 1343
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
cipher_CIPHER_
09-29
标题中的"Cipher_CIPHER_"可能指的是密码学中的加密算法或安全协议,这在IT行业中是非常重要的一环,特别是在数据传输、网络安全以及信息安全存储等领域。"Hi3520D"则可能是一个芯片型号,通常用于处理视频编码、...
thuong_mai_dien_tu_magento
03-05
docker-compose up -d 安装样本数据 泊坞窗exec -i -t --user magento magento2_php-apache_1 install-sampledata 安装Magento docker exec -i -t --user magento magento2_php-apache_1 insta
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
【学习笔记8】buu [HCTF 2018]WarmUp
weixin_43553654的博客
05-06 184
1.点开一看发现一个表情包,f12查看源码发现提示让去找source.php页面,转到source.php页面后看到如下代码,日常代码审计,再看其中提到了hint.php,接下来跳转到hint.php看,提示flag not here, and flag in ffffllllaaaagggg <?php highlight_file(__FILE__);//指定地址 cla...
buu:pwn warmup_csaw_2016
weixin_60553183的博客
11-29 2625
buu:pwn warmup_csaw_2016 第一次写pwn题,得到文件放入ida 其实一开始和re的题很像,都是寻找关键函数,怎么找,个人理解是要关注输入输出有无比较的地方,这里shb_40060D很明显就是关键函数,点进去,为什么呢,因为gets()函数很明显会有栈溢出漏洞,sub_40060D函数是后门。 找到了system和 cat flag.txt。 进入虚拟机,对文件进行checksec操作 发现没有任何防护 写exp 在终端运行得flag. ...
BUU刷题-Pwn-warmup_csaw_2016
一个啥也不会的小菜鸡!
07-13 89
同时存在危险函数get(),可以实现栈溢出漏洞!发现v5变量距离ebp+8=0x40+8。分析:有后门函数,利用栈溢出。
buuctf-WarmUp
xixihahawuwu的博客
11-23 394
首先我们先看下题目给的提示 Php 代码审计 注意,一般题目给出这样的题解,就已经相当于明确的告诉你,flag线索在网页源码里 而我们只要使用f12快捷键,就可以查看网页源码 进入环境,我们可以看到只有一张图片,根据我们的思路,查看页面源码 好,线索已经出来了 我们来访问一下 在新的页面下返回了一段php源码 审计一下 在这段源码里有几个醒目的地方就是php逻辑运算符 &&逻辑与 ||逻辑或 要求我们的file变量不为空 我们来看看这段代码首先要求我们传进去的得是字符串类型 而.
BUUCTF web之WarmUp 源代码详解
good good study
11-18 2389
前言前言访问除了一张滑稽图,就没其他的了查看源码,有一个注释了的 source.php,可以尝试直接访问一下。同时进行目录扫描访问source.php,里面包含php代码,题目说了是php代码审计,那就先从这里进行分析提取其中的php代码代码分析1. 代码整体结构分析前面两个条件很好满足,只需要 source.php?file=字符串 ,即可。所以重点需要让checkeFile函数返回true,则会进行文件包含2. chechkFile()函数分析。
buuctf warmup
doudoudedi
01-28 562
函数很少我们需要控制寄存器的值来执行内核调用(int 80) 思路 先将字符串/bin/sh写入程序32位的程序用栈传递参数所以我们有充足的空间进行ROP然后跳回程序开始然后将再次读入/bin/sh然后控制好寄存器的值即打开execve的系统调用(这里函数最后的ret会使栈向上提了4个byte所以寄存器控制好了)~~ exp: #!/usr/bin/python2 from pwn import ...
BUUCTF-WarmUp
硫酸超的博客
11-20 5114
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
BUUCTF web-[HCTF 2018]WarmUp
m0_53314778的博客
01-14 3970
[HCTF 2018]WarmUp 点进去一个滑稽,,查看源码 有个php,访问php 查看源码,有个hint.php访问一下 提示说flag在ffffllllaaaagggg文件里,我们继续分析源码 我们发现最底部的if语句为执行条件,有三个条件,第一个判断文件不能为空(检查是否传了file参数),第二这个传的参数是字符串,第三要过白名单检测,过了之后包含 隐藏了flag的文件。我们再看上面的if语句,白名单是hint.php,又有mb_strpos和mb_substr截取内容,碰到?就截止,所以我们只
buuctf——Warmup
qq_51796436的博客
03-05 1147
打开题目F12有注释source.php 那访问网址:题目/source.php出现如下题目代码:
buu crackrtf
最新发布
09-26
BUU CrackRTF是一个密码破解题目,其中涉及到了密码的加密和解密过程。在分析代码的过程中,我们可以看到有两个函数sub_40100F和sub_401005。sub_40100F函数是从AAA文件中取出字符和密码进行异或操作,而sub_401005...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值