【学习笔记8】buu [HCTF 2018]WarmUp

最新推荐文章于 2023-10-16 11:38:10 发布
最新推荐文章于 2023-10-16 11:38:10 发布
阅读量181 收藏 1
点赞数 2
分类专栏: ctf 学习笔记 文章标签: 字符串 php java javascript python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43553654/article/details/107686902
版权

1.点开一看发现一个表情包,f12查看源码发现提示让去找source.php页面,转到source.php页面后看到如下代码,日常代码审计,再看其中提到了hint.php,接下来跳转到hint.php看,提示flag not here, and flag in ffffllllaaaagggg

<?php

    highlight_file(__FILE__);//指定地址

    class emmm

    {

        public static function checkFile(&$page)

        {

            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

            if (! isset($page) || !is_string($page)) {

                echo "you can't see it";

                return false;

            }

            if (in_array($page, $whitelist)) {

                return true;

            }

            $_page = mb_substr(

                $page,

                0,

                mb_strpos($page . '?', '?')

            );

            if (in_array($_page, $whitelist)) {

                return true;

            }

            $_page = urldecode($page);

            $_page = mb_substr(

                $_page,

                0,

                mb_strpos($_page . '?', '?')

            );

            if (in_array($_page, $whitelist)) {

                return true;

            }

            echo "you can't see it";

            return false;

        }

    }

    if (! empty($_REQUEST['file'])

        && is_string($_REQUEST['file'])

        && emmm::checkFile($_REQUEST['file'])

    ) {

        include $_REQUEST['file'];

        exit;

    } else {

        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";

    }  

?>

先看这一块,看看如何传值如果

 

if (! empty($_REQUEST['file']) //如果$_REQUEST['file']传值非空

        && is_string($_REQUEST['file'])//并且检测是否是字符串

        && emmm::checkFile($_REQUEST['file'])//并且能通过checkfile的检测

    ) {

        include $_REQUEST['file'];//这时就把$_REQUEST['file']包含进去

        exit;

    } else {

        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";

    }  //如果不行就打印出表情包

?>

知识点:

is_string()函数用于检测变量是否是字符串。

::是调用类中抄的静态方法或者常量,

接下来看class类中对checkfile检测的方法

<?php

    highlight_file(__FILE__);//指定地址

    class emmm//定义emmm类用于下边的if判断

    {

        public static function checkFile(&$page)//创建checkFIle方法并把传进来的参数给$page

        {

            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//声明白名单

            if (! isset($page) || !is_string($page)) {//如果page变量不存在或者非字符串

                echo "you can't see it";

                return false;

            }

            if (in_array($page, $whitelist)) {//如果page变量存在于白名单中

                return true;

            }

            $_page = mb_substr(//截取$page中?前部分,如果没有就截取整个$page

                $page,

                0,

                mb_strpos($page . '?', '?')

            );

            if (in_array($_page, $whitelist)) {//判断page变量是否存在于白名单中

                return true;

            }

            $_page = urldecode($page);//url解码$page

            $_page = mb_substr(//截取$page中?前部分,如果没有就截取整个$page

                $_page,

                0,

                mb_strpos($_page . '?', '?')

            );

            if (in_array($_page, $whitelist)) {

                return true;

            }

            echo "you can't see it";

            return false;

        }

    }

知识点:

highlight_file() 函数对文件进行语法高亮显示

_FILE_:获得文件的绝对地址

=>符号来分隔键和值,左侧表示键,右侧表示值

mb_substr() 函数返回字符串的一部分

mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置

in_array() 函数搜索数组中是否存在指定的值。

因为两次判断是否在白名单中又要对问号前的部分,并且第二次截取的时候要先url解码后在截取,让file包含进去所以就可以构造

?file=source.php?../../../../../ffffllllaaaagggg        //因为不知道ffffllllaaaagggg的路径就逐渐添加../的个数来找

因为会进行一次url解码所以对第二个问号进行两次url编码也就是%253f

所以最终的

?file=source.php%253f../../../../../ffffllllaaaagggg

Noslpum
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
BUUCTF web入门题目每日两道(一)
horiozn1709的博客
02-03 1204
[极客大挑战 2019]EasySQL 1 该题目需要同时输入用户名和密码,在用户名处输入万能密码‘or 1=1 # ,密码处输入任意字符即可得到flag [HCTF 2018]WarmUp 1 php 代码审计问题 首先看页面源码 注意到在body中注释掉了 source.php ,所以我们直接访问source.php 得到源码: <?php highlight_file(__FILE__); classemmm { pu...
BUUCTF web之WarmUp 源代码详解
good good study
11-18 2365
前言前言访问除了一张滑稽图,就没其他的了查看源码,有一个注释了的 source.php,可以尝试直接访问一下。同时进行目录扫描访问source.php,里面包含php代码,题目说了是php代码审计,那就先从这里进行分析提取其中的php代码代码分析1. 代码整体结构分析前面两个条件很好满足,只需要 source.php?file=字符串 ,即可。所以重点需要让checkeFile函数返回true,则会进行文件包含2. chechkFile()函数分析。
[HCTF 2018]WarmUp1解题思路
旺仔Sec&blog
11-04 589
[HCTF 2018]WarmUp1目录穿越,代码审计解题思路
buu:pwn warmup_csaw_2016
weixin_60553183的博客
11-29 2616
buu:pwn warmup_csaw_2016 第一次写pwn题,得到文件放入ida 其实一开始和re的题很像,都是寻找关键函数,怎么找,个人理解是要关注输入输出有无比较的地方,这里shb_40060D很明显就是关键函数,点进去,为什么呢,因为gets()函数很明显会有栈溢出漏洞,sub_40060D函数是后门。 找到了system和 cat flag.txt。 进入虚拟机,对文件进行checksec操作 发现没有任何防护 写exp 在终端运行得flag. ...
关于buu warmup的深入理解
qq_51425032的博客
05-19 434
关于buu warmup的深入理解 打开页面,一个滑稽,查看源码,得到source.php,输入得到源码: <?php //首先测试一下in_array()函数的绕过方法 //$str=["heel","zzy"]; //var_dump(in_array("heel?f",$str)); highlight_file(__FILE__); class emmm { public static function checkFile(&$page)
joinUs-buu2018:h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信qq分享
05-02
joinUs-buu2018 h5邀请函、招商加盟、boudle整屏滚动 + animation 动画库 + 音乐播放与暂停 + 申请加盟数据提交 + 微信/qq分享 #预览地址
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
8. **编译与构建工具**:项目可能使用Makefile或CMakeLists.txt来自动化编译和构建过程,确保不同平台上的可移植性。 9. **调试与测试**:源代码中可能包含断点、日志记录(如`std::cout`或使用Glog)、单元测试等...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUUCTF学习(三): PHP 代码审计
初尘屿风的博客
10-16 112
PHP 会根据变量的值,自动把变量转换为正确的数据类型
BUU刷题记录——1
weixin_43610673的博客
06-03 731
[HCTF 2018]WarmUp hint.php中给了flag的位置: flag not here, and flag in ffffllllaaaagggg checkFile()会截取到第一个问号: $_page = mb_substr( $_page, 0, mb_strpos($_page . '?', '?') ); source.php?/会被当作目录,之后回溯目录就好了
ctfhub warmup
weixin_63810302的博客
05-06 134
ctfhub warmup
PHP代码审计入门题
weixin_44022769的博客
03-28 1428
来源:https://buuoj.cn/challenges 点开出现一个滑稽脸 查看网页源代码,发现突破点: 在URL后面拼接这个source.php,发现了source.php文件: http://320a5c2d-1f76-4156-884c-00846ec2ff63.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { pub...
BUU刷题-Pwn-warmup_csaw_2016
一个啥也不会的小菜鸡!
07-13 84
同时存在危险函数get(),可以实现栈溢出漏洞!发现v5变量距离ebp+8=0x40+8。分析:有后门函数,利用栈溢出。
HCTF 2018:WarmUp(源代码详解)
1stPeak's Blog
03-06 2786
前言 之前刷BUUCTF时遇到过这题,这次刷XCTF时也遇到了,那就写个详细点的WP吧 寻找利用点 打开题目,是一个滑稽图 没发现什么,查看下网页源代码,发现了source.php 访问source.php,发现以下source.php中的代码,经测试,这是index.php的源代码 <?php highlight_file(__FILE__); class emmm ...
攻防世界-warmup_mb_substr()+mb_strpos()绕过
Fisher
05-13 3071
出自:HCTF2018 打开源代码,发现存在source.php,于是访问发下如下代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //白名单跟后续函数配
记一次phpmyadmin 4.8.1 远程文件包含漏洞(BUUCTF web)
ancan8807的博客
07-28 400
题目很简单,一个滑稽 打开源码,发现存在source.php文件 于是访问文件,发现出现一串php源码 提示存在hint.php,于是访问发现一句话 flag not here, and flag in ffffllllaaaagggg 再回过头来观察source.php明显是一道代码审计的问题,其中存在4个限制条件 $_REQUEST['f...
Xctf--Web--Challenge--area Wp
Kanyun的博客
02-15 977
Xctf--Web--Challenge--area Wp1.baby_web其实还有第二种方法2.warmup 1.baby_web > 题目描述:想想初始页面是哪个 思路: 先进入网页,看到url为http://111.200.241.244:59979/1.php 结合题目描述,初始页面应该是:index.php, 尝试修改url------>失败,又跳回到1.php 查看源码:没有发现什么,修改为index.php再次查看源码,在network中看到了 其实还有第二种方法 bp抓包,
buu cipher
最新发布
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值