BUUCTF学习笔记-WarmUp

最新推荐文章于 2024-06-14 00:29:42 发布
最新推荐文章于 2024-06-14 00:29:42 发布
阅读量919 收藏 3
点赞数 3
文章标签: 安全 web php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42271850/article/details/104664621
版权

BUUCTF学习笔记-WarmUp

时间:2020/03/04
考点:代码审计

在这里插入图片描述

        先看看题目的描述,写着PHP代码审计,估计是那种直接给一段PHP源代码,然后构造请求来获得flag

在这里插入图片描述

        打开题目链接只有一个表情包的图片,右键查看源代码提示我们访问source.php,访问source.php能发现到题目的源代码。

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

        代码审计下来能看到是要我们输入一个file的参数,只要这个参数不是非空、为字符串类型和能通过自定义的checkFile函数就能直接包含这个文件。
        仔细看一下checkFile这个函数,是一个类似白名单的判断的函数。一开始设立了一个白名单,包括两个文件名source.phphint.php。然后会进行3次白名单的判断,只要成功一次算通过白名单。
        第一次判断,没有进行任何操作,直接拿输入的值来进行白名单判断。
        第二次判断,是取输入的值第一个?号前面的字符串来进行白名单判断。
        第三次判断,是取输入的值进行URL编码的解码,然后和第二次判断你的操作一样,取解码后的字符串的第一个?号前面的内容来进行白名单判断。

        那正式开始尝试,首先看第一次判断,因为没有对值进行任何操作,所以也不能存在任何绕过的可能性,只能输入默认的两个白名单参数。

        输入?file=source.php,能看到页面上又加载了一次source.php的代码。
        输入?file=hint.php,能看到页面上加载了hint.php的内容flag not here, and flag in ffffllllaaaagggg。能看出来我们的目标是绕过白名单,使页面能加载ffffllllaaaagggg文件。

        尝试在第二次判断中绕过,因为是取第一个?号前面的字符串来进行白名单判断。所以前面肯定是?file=source.php或者?file=hint.php。不然根本通不过白名单,但是我们可以在后面加上任何东西,应为他只取?前面的来进行判断。这时就能想到用../来跳出目录,找到对应的ffffllllaaaagggg文件。

        输入?file=hint.php?/../ffffllllaaaagggg,没有加载出来。
        输入?file=hint.php?/../../ffffllllaaaagggg,没有加载出来。
        输入?file=hint.php?/../../../ffffllllaaaagggg,没有加载出来。
        输入?file=hint.php?/../../../../ffffllllaaaagggg,成功加载到页面,并看到flag。

        尝试在第三次判断中绕过,因为和第二次判断相比,第三次判断前面的操作只是多了一次URL编码的解码,又因为本身浏览器解析的时候会进行URL的解码。所以我们需要对参数进行两次的URL编码。需要编码的其实也只有?这个字符。

        ?第一从URL编码为%3f,将%再编码一次为%25。所以合起来?两次URL编码为%253f
        在上面的payload中将?替换成%253f等到新的payload。file=hint.php%253f/../../../../ffffllllaaaagggg输入后也能加载到文件,等到flag。

晓德
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
autokeras学习笔记-安装篇
06-07
autokeras学习笔记-安装篇
JSP学习笔记-2.pdf
11-28
JSP学习笔记-2.pdf
攻防世界-web高手进阶篇-warmup
热门推荐
qq_42016346的博客
02-06 1万+
打开目链接后只有一个滑稽??(那就看看它里面有啥吧) 想啥呢,是审查源码啦 可以看到有注释source.php,访问后可以看到其源码 又发现一个hint.php文件,先访问再说 提示我们flag在ffffllllaaaagggg里面,此时目已经完成一半啦 接着看回source.php源码 可以看到最后的include 是可以动态构造参数的,那应该就是解关键了 不...
BUUCTF webWarmUp 源代码详解
good good study
11-18 2357
前言前言访问除了一张滑稽图,就没其他的了查看源码,有一个注释了的 source.php,可以尝试直接访问一下。同时进行目录扫描访问source.php,里面包含php代码,目说了是php代码审计,那就先从这里进行分析提取其中的php代码代码分析1. 代码整体结构分析前面两个条件很好满足,只需要 source.php?file=字符串 ,即可。所以重点需要让checkeFile函数返回true,则会进行文件包含2. chechkFile()函数分析。
buuctf----warmup_csaw_2016
最新发布
Nike_name的博客
06-14 239
get栈溢出
BUUCTF-WarmUp
硫酸超的博客
11-20 5098
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
buuctf web warmup详细
weixin_64160292的博客
03-31 3066
目:warmup 目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
BUUCTF web目 之WarmUp
m0_54993799的博客
12-10 935
BUUCTF web目之WarmUp
android学习笔记-clip.pdf
11-15
android学习笔记-clip.pdf
ccnp学习笔记---stp
02-16
ccnp学习笔记---stp
学习笔记-FreeRTOS思维导图文件
01-16
自学笔记,FreeRTOS思维导图文件分享
BUUCTF——Warmup
weixin_44866139的博客
04-30 1313
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
buuctfwarmup_csaw_2016
weixin_54452942的博客
03-25 346
发现了一个gets函数可以溢出,并且在上面的运行中,我们看到他输出了一个地址,在下面的sprintf函数中将一个函数的地址输出了,我们去看看这个函数是干什么的。一种是ida直接看(不一定准),40h是64字节,再加8字节的rbp就是ret的位置。这里的返回地址,也就是rbp下面的地址是df28,我们输入的‘aaaaa’在dee0。是一个没有保护机制的64位x86架构的小端可执行程序。断在main函数地址,或者调用gets函数的地址也行。减一下刚好和ida中的一样。两种方式获得填充数据大小。
关于buu warmup的深入理解
qq_51425032的博客
05-19 432
关于buu warmup的深入理解 打开页面,一个滑稽,查看源码,得到source.php,输入得到源码: <?php //首先测试一下in_array()函数的绕过方法 //$str=["heel","zzy"]; //var_dump(in_array("heel?f",$str)); highlight_file(__FILE__); class emmm { public static function checkFile(&$page)
warmupbuuctf-pwn】
m0_73756460的博客
07-17 195
warmupbuuctf-pwn】
buuctfWarmUp
qq_38634097的博客
04-17 495
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
BUUCTF Web WarmUp1
qq_52429415的博客
03-07 596
BUUCTF Web WarmUp1 进入网站后发现什么也没有 按F12查看原代码,发现PHP发现新的PHP(hit.php) 发现flag在ffffllllaaaagggg中 仔细分析代码 因为flag在ffffllllaaaagggg中 为了读到ffffllllaaaagggg 可以加?file=source.php?/ffffllllaaaagggg 因为传入后服务器会自动解一次码 所以第二个问号要自己url加密一次 ?file=source.php%3f/ffffllllaaaagggg 因为后来还
Buuctf-Web-[HCTF 2018]Warm Up 解&代码审计
m0_62239233的博客
04-22 1361
Buuctf-Web-[HCTF 2018]Warm Up 解&代码审计
Buuctf-warmup【代码审计】
qq_61968245的博客
12-15 1047
0x01 目链接 https://buuoj.cn/challenges#[HCTF%202018]WarmUphttps://buuoj.cn/challenges#[HCTF%202018]WarmUp 0x02 知识点 isset($name):判断变量是否存在 is_string($name):判断变量是否为字符串 in_array($search,$array):判$search是否在$array数组里 mb_stro...
python学习笔记--皮大庆
08-14
《Python学习笔记》是由皮大庆编写的一本关于Python语言学习的教材。在这本书中,作者详细介绍了Python语言的基础知识、语法规则以及常用的编程技巧。 首先,作者简要介绍了Python语言的特点和优势。他提到,Python...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值