Buuctf-warmup【代码审计】

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量1k 收藏 5
点赞数
分类专栏: BUUCTF 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61968245/article/details/121943400
版权

0x01 题目链接

https://buuoj.cn/challenges#[HCTF%202018]WarmUphttps://buuoj.cn/challenges#%5BHCTF%202018%5DWarmUp

0x02 知识点 

        isset($name):判断变量是否存在

        is_string($name):判断变量是否为字符串

        in_array($search,$array):判$search是否在$array数组里

        mb_strops($name,start,length):截取$name字符串中的从start开始的length 长度

        mb_strops(haystack,needle):返回索引;needle指要被搜索的字符串,haystack指要被检查的字符串

启动靶机,发现了一张滑稽图。如下

  F12发现提示source.php,访问

0x03 代码审计

首先分析最后的if语句

 可以看出,接收file里的参数来调用checkFile函数;并且当函数为true的时候执行include

接下来分析checkFile函数的内容

class emmm
     {
         public static function checkFile(&$page)
 
         {
             //白名单列表
             $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            //isset()判断变量是否存在
            //is_string()判断变量是否是字符串
             if (! isset($page) || !is_string($page)) {
                 echo "you can't see it A";
                 return false;
             }
             //检测传进来的值是否匹配白名单列表$whitelist
             if (in_array($page, $whitelist)) {
                 return true;
             }
             //过滤问号的函数
             $_page = mb_substr(
                 $page,
                 0,
                 mb_strpos($page . '?', '?')//返回$page中第一个?的索引
             );
 
              //检测传进来的值是否匹配白名单列表$whitelist
             if (in_array($_page, $whitelist)) {
                 return true;
             }
             //url对$page解码
             $_page = urldecode($page);
 
             //过滤问号的函数
             $_page = mb_substr(
                 $_page,
                 0,
                 mb_strpos($_page . '?', '?')
             );
             if (in_array($_page, $whitelist)) { //检测传进来的值是否匹配白名单列表
                 return true;
             }
             echo "you can't see it";
             return false;
         }
     }

     可分为两块分析

分析:

第一个$whitelist主要是把source.php和hint.php列入白名单列表里

第一个if判断变量是否存在或者是否为字符

第二个if判断变量是否在数组里

之后截取?之前的函数,返回索引,而$page有与?拼接,实际就是$_page=$page

  • 在这里出现了一个hint.php,尝试访问 猜测ffffllllaaaagggg可能包含flag

$_page放入白名单里检测,是否存在;之后进行了一次解码,又进行了一次截取放入白名单里检测。

  • 总体上checkFile一共查看三次是否在白名单中,截取两次?前的字符,进行一次url解码

 整体利用的漏洞就是代码最后的include函数,利用文件包含漏洞
因此,最后的if条件语句是关键,即需要满足if(true && true && true),才会执行include函数,否则输出滑稽图。
emmm::checkFile($_REQUEST['file']满足true,需要执行emmm类中的checkFile函数,使得该函数最终返回true才可以

0x04 构造payload

要想让include函数执行ffffllllaaaagggg文件,就必须让checkFile返回true,让最后一个if语句都为真,才能执行include文件包含

因此构造的语句如下:

?file=hint.php?/ffffllllaaaagggg

分析:当执行到checkFile函数时,第1个if语句绕过,执行第2个if语句,放入白名单里验证,返回false,继续执行下一个语句, 在截取时,虽然在参数后面拼接了?,但mb_strops()函数会从左到右匹配最先匹配到的字符,因此截取后变成

?file=hint.php

带入第三个语句返回为true,跳出checkFile函数,执行include函数

此时接收的语句:

?file=hint.php?/ffffllllaaaagggg

在这里会发现,我们并不知道ffffllllaaaagggg存放的位置,那么我们可以通过找到它的相对位置来访问它,即构造../来完成

因此构造的语句如下:

?file=hint.php?../../../../../ffffllllaaaagggg

flag{45243bf2-55f4-4a06-8c7b-182a819f596e}

 【提示:可能很多人会问,为什么?后要加/,其实这样是为了让程序误以为指文件夹,不加也可以】

  • 萌新一枚,不对的地方欢迎大佬指点迷题!
SharpKean
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pytorch-gradual-warmup-lr:PyTorch的逐步预热学习速率调度程序
02-05
$ pip install git+https://github.com/ildoonet/pytorch-gradual-warmup-lr.git 用法 请参阅文件。 import torch from torch . optim . lr_scheduler import StepLR , ExponentialLR from torch . optim . sgd ...
TICs-WarmUp
03-29
项目通过GitHub克隆获取,仓库名为"TICs-WarmUp",提供了实践操作的代码示例。下面将详细解释这个教程的主要内容和相关知识点。 首先,克隆仓库是软件开发中的常见操作,用于获取远程存储库的本地副本。在本案例中...
BUUCTF-WarmUp
硫酸超的博客
11-20 5105
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
buuctf----warmup_csaw_2016
Nike_name的博客
06-14 246
get栈溢出
BUUCTF-WarmUp 1
z1moq的博客
09-06 405
根据提示,本题主要是以php代码审计为主 开启靶机后进入靶机 发现什么都没有 打开源码 发现注释中有一个提示,打开提示所在页面 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.
BUUCTF-warmup
m0_74167420的博客
03-10 832
file=hint.php../../../../../ffffllllaaaagggg(这里其实包含的就是ffffllllaaaagggg,而不包含hint.php),此时函数实参 $page的值为 “hint.php../../../../../ffffllllaaaagggg”,但其并不在$whitelist白名单列表中,函数不会返回true。第2个语句可以执行,返回true。则经过mb_substr()的截取,返回的$page的值为 hint.php,刚好在白名单中通过校验,函数返回true。
buuctf-warmup
qq_56558594的博客
12-10 141
打开靶机,网页上显示一个笑脸,右击查看源码,源码中有个提示 直接访问source.php,爆出了一大串代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.ph
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
m0_62239233的博客
04-22 1409
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
Buuctf-Web-[HCTF 2018]WarmUp
御七彩虹猫
05-12 573
Buuctf-Web-[HCTF 2018]WarmUp
buuctf-WarmUp
xixihahawuwu的博客
11-23 391
首先我们先看下题目给的提示 Php 代码审计 注意,一般题目给出这样的题解,就已经相当于明确的告诉你,flag线索在网页源码里 而我们只要使用f12快捷键,就可以查看网页源码 进入环境,我们可以看到只有一张图片,根据我们的思路,查看页面源码 好,线索已经出来了 我们来访问一下 在新的页面下返回了一段php源码 审计一下 在这段源码里有几个醒目的地方就是php逻辑运算符 &&逻辑与 ||逻辑或 要求我们的file变量不为空 我们来看看这段代码首先要求我们传进去的得是字符串类型 而.
Buuctf-web-Warm Up
Ch_an_ger的博客
10-12 363
作为一个白名单验证的代码审计题,而且文件只能包含source.php和hint.php,先把注释了的源码贴出来 从代码看来这个审计是要求传一个参数file并未参数内容要在白名单之内,并且是三次检查,第三次检查还将参数进行了URL解码,先解释一下mb_strops()函数的意思是截取出参数内容中?之前的字符串并进行返回,在源码里能看到还出现了hint.php文件,可以尝试去访问这个文件, 这就使...
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3095
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
Proyecto-Warmup
03-18
由于提供的文件名称列表只有一个“Proyecto-Warmup-main”,我们可以推测这可能是项目的主目录,包含着项目的主要源代码和相关配置。在Java项目中,"main"常常用来存放主类,即程序的入口点,通常是`public static ...
composer-warmup
05-27
OpCode Warmer(composer插件) 通过预热OpCode优化您的应用... recommendedopcache.file_update_protection =0用法$ cd my-project$ composer warmup-opcode它是如何工作的? 从PHP 7.0开始,OpCache扩展能够将编译
Javascript-Warmup:http
06-05
在JavaScript的世界里,"Warmup"通常指的是对特定技术或概念进行初步理解和实践的过程,旨在帮助开发者快速上手。在这个"Javascript-Warmup:http"的主题中,我们将深入探讨JavaScript中的HTTP(超文本传输协议)相关...
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 811
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
53、PHP 实现归并排序
weixin_44010641的博客
07-30 309
【代码】53、PHP 实现归并排序。
WordPress原创插件:搜索引擎抓取首图seo图片
爱酷码的博客
07-29 500
WordPress原创插件:搜索引擎抓取首图seo图片。
解释代码:def adjust_learning_rate(optimizer, current_epoch, max_epoch, lr_min=0, lr_max=1e-3, warmup=True): warmup_epoch = 10 if warmup else 0 if current_epoch < warmup_epoch: lr = lr_max * current_epoch / warmup_epoch else: lr = lr_min + (lr_max-lr_min)*(1 + math.cos(math.pi * (current_epoch - warmup_epoch) / (max_epoch - warmup_epoch))) / 2 for param_group in optimizer.param_groups: param_group['lr'] = lr
03-27
这段代码是一个用于动态调整学习率的函数,主要包含以下参数: - optimizer:优化器对象,用于更新模型参数。 - current_epoch:当前训练的轮数。 - max_epoch:总的训练轮数。 - lr_min:学习率下限。 - lr_max:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值