BUUCTF——Web之HCTF 2018 WarmUp

已于 2025-02-20 21:41:58 修改
阅读量921 收藏 18
点赞数 6
分类专栏: 渗透测试 # CTF 文章标签: 网络安全
于 2025-02-20 21:40:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cai_huaer/article/details/145758558
版权

这个漏洞是代码审计的。所以在启动靶机后,第一件事情就是显示网页源代码。

1.打开靶机所在地址,网页上只有一个笑脸,其他什么都没有。

2.显示网页源代码,代码如下:


<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <!--source.php-->
    
    <br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" /></body>
</html>

3.发现代码中有注释 source.php。于是尝试将网址从“http://12eeccd1-4048-43c6-83ec-dc131ad3433d.node5.buuoj.cn:81/”改成“http://12eeccd1-4048-43c6-83ec-dc131ad3433d.node5.buuoj.cn:81/source.php”。

发现此页面有显示代码。代码如下:

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

4.看代码,checkFile($_REQUEST['file'])将会调用checkFile的方法。尝试将网址改成checkFile($_REQUEST['file']),“ http://12eeccd1-4048-43c6-83ec-dc131ad3433d.node5.buuoj.cn:81/?file=abc”。随便传一个abc去测试一遍。结果显示

显示了“you can't see it”,那么,代码是走向了

                echo "you can't see it";
                return false;

这一块。

5.接着,尝试用“hint.php”去代替“source.php”,结果显示


6. 他告诉你了 flag在 ffffllllaaaagggg中,那么,我们是否可以假设ffffllllaaaagggg是一个文件夹。那么这个文件夹在哪?

再看一下代码,如果是文件夹,那么我们能用include漏洞去文件包含,那么需要执行到include那一行代码,需要前面三个条件都为真。即以下三个:

! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file']

我们尝试“http://12eeccd1-4048-43c6-83ec-dc131ad3433d.node5.buuoj.cn:81?file=hint.php/ffffllllaaaagggg”,发现返回的是

那这样,说明是没有跑到include代码处的。仔细看checkFile方法,发现当page值是hint.php/ffffllllaaaagggg时,下面方法是false。

if (in_array($page, $whitelist)) {                           
      return true;
}

继续往下看,

$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );

mb_strpos是page的查找子字符串的位置。

mb_substr是截取从0到page的查找子字符串的位置的字符串。

于是从第一个字符开始,一直到第一个?的字符串,只要符合$whitelist数组中的值就行,source.php和hint.php。

所以,在文件包含前需要加一个问号,这样才能返回真。

这样,我们在尝试“http://12eeccd1-4048-43c6-83ec-dc131ad3433d.node5.buuoj.cn:81?file=hint.php?/ffffllllaaaagggg”,发现没有“you can't see it”提示,页面是一片空白后,应该是跑到了include那去了,只是可能位置不对。于是,我们加上"../",尝试上一级目录。没有反应就一直尝试。

之后在尝试了四个../后,flag出现,成功!

02 [HCTF 2018]WarmUp
weixin_60937978的博客
04-23 3180
(修改网页, 访问source.php?file=1 访问 hint.php
BUUCTF-WEB
ccfly1012的博客
11-02 4073
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
笑脸漏洞复现、检测
z2054的博客
10-21 254
漏洞原理 VSFTPD 2.3.4,俗称笑脸漏洞。笑脸漏洞存在于这个2.3.4版本,在VSFTPD的实现代码中存在一个后门函数,属于开发者设计上的失误。在检测到用户名带有特殊字符:)时,会自动打开6200端口。打开靶机和kali,用nmap扫描同子网下靶机的端口开放情况。用nmap查出21端口的版本,版本为VSFTPD 2.3.4。此时用nc(瑞士军刀)连接6200端口,就能以管理员身份登录。用瑞士军刀连接靶机的21端口,在用户名中输入:)用nmap检查6200端口的开放情况。
笑脸漏洞复现
ableup7的博客
10-29 257
笑脸漏洞(Smiling Face Vulnerability),通常指的是VSFTPD 2.3.4版本中的特定后门漏洞。这个漏洞是由于开发者在设计上的失误造成的,具体表现为当FTP服务的用户名中包含特殊字符“:)”时,会自动打开6200端口,从而允许攻击者以root权限执行系统命令,进行未授权的访问和操作。在kali中使用nmap进行扫描,获得靶机的IP地址,且能看到靶机开放的端口。接下来我们使用nc(netcat)连接上靶机的21端口,输入user:)使用nc连接6200端口,输入whoami。
BUUCTF】[HCTF 2018]WarmUp 1
qq_44761422的博客
08-28 2080
tips:include函数有这么一个神奇的功能:以字符‘/’分隔(而且不计个数),若是在前面的字符串所代表的文件无法被PHP找到,则PHP会自动包含‘/’后面的文件——注意是最后一个‘/’。这里的ffffllllaaaagggg是在hint.php中发现的,显然flag在这个文件里。31 //第二次过滤问号的函数(如果$page的值有?37 //第三次检测传进来的值是否匹配白名单列表。6 //白名单列表。访问hint.php。
BUUCTF——[HCTF 2018]WarmUp 1
小白一枚多多关注的博客
03-17 2633
这道题很有意思,因为它这道题和攻防世界中的某道题相似,可以说几乎做法都一样,都是php代码审计,在这里我们刚进入环境是一张笑脸 一般在打ctf中要是一个网页中只有一张图片我们首先想到的肯定是图片里面藏着某个数据(某年某个ctf比赛就是这样的),但这个不一样,因为题目已经提示了我们这里是php代码审计,所以我们就用各种手段来获取有利用价值的信息 可以看见它的源代码处有一个被注释掉的php文件,我们先去访问一下看一下是否能被打开 打开后就可以看见一堆的php代码,现在我们就可以正式的来解体了 这里是用f
BUUCTF——[HCTF 2018]WarmUp
doraemon12345的博客
05-26 283
打开题目发现提示 根据提示找到下一步,映入眼帘的是代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//白名单 if (! is
BUUCTF————[HCTF 2018]WarmUp
qq_61579604的博客
11-02 147
出现一堆php代码,但我们发现有一个hint.php文件那我们接着进入这个文件查看有哪些信息。题目上也提示了代码审计那么直接查看源代码,出现一个source.php文件。出现这个说明flag存在于ffffllllaaaagggg里面。打开靶机出现一个奸笑表情的页面。那我们查看这个文件看有些什么。
BUUCTF-WEB:[HCTF 2018]WarmUp
_Co1a
11-02 403
刷题平台:https://buuoj.cn 题目地址:https://buuoj.cn/challenges#[HCTF%202018]WarmUp 解题步骤: 1、访问:http://26778d38-6a95-4982-9d92-c945c10aaafe.node3.buuoj.cn 2、出现一个滑稽头像并按快捷键F12查看源码,出现提示信息source.php 3、将/source.php复制到地址栏已有地址后面 http://26778d38-6a95-4982-9d92-c945c10aaa
BUUCTF [HCTF 2018]WarmUp1
meiqianchifanle的博客
12-10 741
打开题目之前发现有“PHP”与“代码审计”两种提示,心里大致有点数了,开始看题。
BUUCTF--WEB
书山有路勤为径,学海无涯苦作舟
06-28 1373
可以猜测,这个输入框是搜索当前数据库里的表id号应该,回显得数据就是表words里的两个字段id和data,但是我们flag在当前数据库的。他的后端既然能做到数字回显字母不回显,说明有一个 或 结构,而且不直接回显flag,但作为一道题目,from一定是from flag。mb_substr($page,n,m):返回page中从第n位开始,到n+m位字符串的值。再跳转到新的页面什么也没有就结束了,所以在这个页面,我们请点击抓包,就能发现他的秘密。内联函数:将指定的函数体插入并取代每一处调用该函数的地方。
BUUCTF web(一)
热门推荐
Lemon's blog
10-16 1万+
前言:最近参加了一场CTF比赛,菜的一批,接下来多练习web题、MISC、密码学,多思考,提高一下自己做题的思路,以及代码审计、编写脚本的能力。 [HCTF 2018]WarmUp 查看源码,发现<!--source.php-->,打开发现源码 <?php highlight_file(__FILE__); if (! empty($_REQUEST['file...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8700
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Python实现的CNN卷积神经网络手写数字识别项目源码及详尽注释和数据集(适合毕业设计与期末大作业)
05-20
基于Python实现的CNN卷积神经网络手写数字识别项目,包含源码、详细注释和数据集。该项目为毕业设计作品,经导师指导并认可通过,评审分为98分。源码经过本地编译调试,确保可运行。适合计算机相关专业的学生作为毕业设计或期末大作业使用,也适用于需要实战练习的学习者。资源难度适中,内容由助教老师审定,满足学习和使用需求,可以放心下载使用。。内容来源于网络分享,如有侵权请联系我删除。
cmd-bat-批处理-脚本-改变窗口颜色并显示当前颜色代码.zip
05-20
cmd-bat-批处理-脚本-改变窗口颜色并显示当前颜色代码.zip
cmd-bat-批处理-脚本-十进制转十六进制.zip
05-20
cmd-bat-批处理-脚本-十进制转十六进制.zip
移动手柄的工艺工装设计.rar
05-20
移动手柄的工艺工装设计.rar
cmd-bat-批处理-脚本-刷新策略.zip
最新发布
05-20
cmd-bat-批处理-脚本-刷新策略.zip
[HCTF 2018]WarmUp 1 PHP 代码审计
02-28
### HCTF 2018 WarmUp 1 PHP Code Security Audit Vulnerabilities Analysis In conducting a security audit on the PHP code from HCTF 2018 WarmUp 1, several potential vulnerabilities can be identified ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值