buuctf -- warm up(远程文件包含漏洞)

最新推荐文章于 2025-03-14 16:35:47 发布
最新推荐文章于 2025-03-14 16:35:47 发布
阅读量1.7k 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_46485934/article/details/108785285
版权

一.source.php

点开页面,是一个滑稽的表情。当然老规矩,右键审查页面源代码
在这里插入图片描述在这里插入图片描述发现了哥source.php,于是访问一下。

source.php

 <?php
highlight_file(__FILE__);
class emmm
{
    public static function checkFile(&$page)
    {
        $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
        if (! isset($page) || !is_string($page)) {
            echo "you can't see it";
            return false;
        }

        if (in_array($page, $whitelist)) {
            return true;
        }

        $_page = mb_substr(
            $page,
            0,
            mb_strpos($page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }

        $_page = urldecode($page);
        $_page = mb_substr(
            $_page,
            0,
            mb_strpos($_page . '?', '?')
        );
        if (in_array($_page, $whitelist)) {
            return true;
        }
        echo "you can't see it";
        return false;
    }
}

if (! empty($_REQUEST['file'])
    && is_string($_REQUEST['file'])
    && emmm::checkFile($_REQUEST['file'])
) {
    include $_REQUEST['file'];
    exit;
} else {
    echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}  
?>

二.hint.php

扫了一眼上面的代码,发现个hint.php

在这里插入图片描述
flag not here,and flag in ffffllllaaaagggg,猜测flag应该是在ffffllllaaaagggg 中

三.代码审计

这是个phpmyadmin 4.8.1 远程文件包含漏洞
主体部分:
if (! empty(KaTeX parse error: Expected 'EOF', got '#' at position 20: …UEST['file']) #̲#不能为空 &…_REQUEST[‘file’]) ##是字符串
&& emmm::checkFile($_REQUEST[‘file’]) ##上面checkfile返回为true
) {
include $_REQUEST[‘file’];
exit;
} else {
echo “
<img src=“https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg” />”;
}

  • 1.判断传入的file不能为空
  • 2.并且是字符串
  • 3.checkFile()返回true

满足以上三点才可包含文件

分析 checkfile()函数(重点,核心)
首先是设置了个白名单
第一个if,判断page变量是否为空,是否是字符串
第二个if,判断传入的page是否在白名单中
第三个if,截取page ?之前的字符赋给_page,判断_page是否在白名单中
第四个if,对page进行一次url解码并赋给_page,截取_page ?之前的字符赋给_page,判断_page是否在白名单中,因此需传入二次编码后的内容,就可以使checkfile返回true。
两种payload的情况:

  • 不满足第一个if,满足第三个if
  • 不满足第一个if,满足第三个if
    传入?file=hint.php%253f…/…/…/…/…/…/…/…/ffffllllaaaagggg,因为服务器会自动解一次码,所以 p a g e 的 值 为 h i n t . p h p page的值为hint.php%3f../../../../../../../../ffffllllaaaagggg,又一次url解码后, pagehint.php_page的值为hint.php?../…/…/…/…/…/…/…/ffffllllaaaagggg,然后截取问号前面的hint.php判断在白名单里返回true。

满足第二个if即为?file=source.php,? file=hint.php,即访问source.php,hint.php的情况

四.构造payload

payload:
file=hint.php?/../../../../../../../../ffffllllaaaagggg(第一种payload情况) file=hint.php%253f/../../../../../../../../ffffllllaaaagggg

这两个payload都可以,只是返回true的地方不一样

例:
在这里插入图片描述拿下!!!
在这里插入图片描述

补充(目录穿越)

漏洞原理:

在Unix操作系统上,../ 是一个标准的返回上一级路径的语法;

在Windows操作系统上, ../ 和 ..\ 都是返回上一级的语句。

若web要显示一个商品的图像,有时候开发者会用通过HTML加载,如:

在这里插入图片描述

使用filename参数加载图像文件,图片文件位置可能映射在 /var/www/images/ 上,所以真实的路径是 /var/www/images/214.png

这就导致了攻击者可以读取服务器上的任意文件:

https://www.*****.com/loadImage?filename=…/…/…/etc/passwd

filename的参数值与真实路径组合起来就是:

/var/www/images/…/…/…/etc/passwd

其等价于:

/etc/passwd
详细请见:
大佬的blog

软大彭少
关注
BUUCTF之[MRCTF2020]套娃 --- 文件包含漏洞
weixin_44632787的博客
06-27 840
BUUCTF之[MRCTF2020]套娃 题目 发现什么都没有,于是鼠标右键查看一下提示。 可以看到PHP代码 <?php //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &
记一次phpmyadmin 4.8.1 远程文件包含漏洞BUUCTF web)
ancan8807的博客
07-28 436
题目很简单,一个滑稽 打开源码,发现存在source.php文件 于是访问文件,发现出现一串php源码 提示存在hint.php,于是访问发现一句话 flag not here, and flag in ffffllllaaaagggg 再回过头来观察source.php明显是一道代码审计的问题,其中存在4个限制条件 $_REQUEST['f...
BUUctf warmup_csaw_2016
最新发布
A_fish_like_sing的博客
03-14 325
buu ctf pwn warmup_csaw_2016
BUUCTF-[HCTF 2018]WarmUp
Nothing-one的博客
08-13 474
题目这里面给了我们提示,是代码审计。 这里面我们访问source.php这样我们可以获得这 <?php highlight_file(FILE); class emmm { public static function checkFile(&$page) //传入了变量page,也就是我们刚刚传进来的file { // 这里定义了白名单 whitelist=["source"=>"source.php","hint"=>"hint.php"];if(!isset(whiteli.
BUUCTF-WarmUp
硫酸超的博客
11-20 5249
BUUCTF-WarmUp(代码审计) 1、打开靶场后,查看源码即可看到 <!--source.php--> 2、进入sourcep.php 代码如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.ph
BUUCTF——Warmup
weixin_44866139的博客
04-30 1475
Warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint....
[BUUCTF-web] warmup
qq_45766280的博客
08-12 191
BUUCTF-web warmup知识点题目 知识点 php代码审计 phpmyadmin 4.8.1的一个远程文件包含漏洞 目录穿越 题目 打开靶机,只有一张图,先F12 有东西,转到这个文件中 有代码,代码审计没跑了 先来看看代码 里面有设置白名单 $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; 去hint.php里看看 果然没有那么简单,还是回去老老实实的看代码吧 <?php highlight_file(_
BUUCTF—WEB-WarmUp
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
一天一题-BUUCTFwarm up
qq_42728977的博客
08-20 1714
拿到题目,查看源码 看到source.php,查看其内容 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)//创建函数,&是引用,影响原值 { $whitelist = [...
BUUCTF web WarmUp
热门推荐
A_dmin的博客
06-07 1万+
BUUCTF web WarmUp 一天一道CTF题目,能多不能少 打开页面,一个滑稽,查看源码,得到source.php,输入得到源码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { ...
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1516
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
PHP source
08-05
PHP user manual book
CTFHub | 远程包含
尼泊罗河伯的博客
06-13 2830
远程文件包含(Remote File Inclusion,简称RFI)是一种常见的安全漏洞,它可以允许攻击者远程执行恶意代码或获取敏感信息。攻击者可以通过利用应用程序中易受攻击的包含程序来引入远程文件,这些文件通常包含恶意代码或其他危险的操作。如果应用程序没有正确处理和验证用户输入,那么攻击者就可以通过注入恶意代码来利用这个漏洞
文件包含(借助CTFHUB,buuctf
ndjnddjxn的博客
04-24 1051
定义:使用文件包含函数将文件包起来,直接使用包含文件的代码为了灵活包含文件,将包含的文件设置为变量,通过动态变量来引入需要包含的文件时,用户可对变量值可控而服务器没有对变量值进行合理的校验或者校验被绕过导致的,通常为php语言。00截断属于RCE绕过,遇到00自动停止长度截断包含日志文件包含session二、include 表达式。
buuctfWarmUp
qq_38634097的博客
04-17 741
通过代码审计,我们知道了需要满足三个条件,前两个为file不为空且为字符串,那么可以构造pyload为:?file=hint.php.(我们已经知道source.php文件源码是什么了,所以直接用hint.php即可)我们已知,hint.php在白名单,flag在ffffllllaaaagggg,mb_strpos($page . '?结合已知条件,再次进行代码审计,寻找突破口。开题一张笑脸,无他,查看网页源码,看到提示source.php,在url后加/source.php,打开结果如下,
BUUCTF之[BSidesCF 2020]Had a bad day --- 文件包含漏洞
weixin_44632787的博客
06-22 1204
BUUCTF之[BSidesCF 2020]Had a bad day 题目 点击下面的那两个按钮的时候,发现图片会变化。而且链接上的值也是跟着变化。(看上去像是文件包含的题目) 点击链接的时候只是category=后面的值改变,使用盲猜是文件包含漏洞。所以试试?category=flag.php 好吧,可能是攻击的方式不对。换换其它的: ?category=flag.php # 失败 ?category=flag # 失败 ?category=php://filter/read=co
BUUCTF:文件上传和文件包含漏洞
YIHAHUHA的博客
11-10 1603
看到题目的第一感觉就是文件包含漏洞 再往下看看还有啥有用的信息 看来不可以直接查看上目录的文件 上传一个脚本试试 后缀和文件名都给改了 打开看看会不会运行 居然就可以运行了?? 还以为会有文件头识别啥的~~(以为要做一个图片马嘞) 简单的文件上传和文件包含漏洞(主要是文件包含漏洞文件包含的大致解题思路就是上传一个 恶意的脚本上去,然后想办法在你访问这个脚本文件时让这个脚本可以在后端运行,从而...
远程本地包含漏洞原理
Coisini的博客
05-23 564
inurl:index.php fees shop link.codes http://www.moneyfastonline.com/index.php?read=../../../../../../../../../../../../../../etc/passwd 远程包含和本地包含漏洞的原理 (1) 2008-04-28 17:03:33 www.hackbase.com 来源:Nee...
BUUCTF学习(): 文件包含tips
初尘屿风的博客
10-16 659
-
buuctf pwn详细
02-26
### 关于BUUCTF PWN题目的解法与教程 #### 环境搭建 为了顺利解决BUUCTF中的PWN题目,需先构建适合的实验环境。具体方法可参照相关资料[^1]。 #### 题目分析与解法实例 ##### 基础概念理解 针对`rip1`这类基础题目,尽管看似简单,但对于初学者而言仍具一定难度。此题涉及到了基本的溢出漏洞利用技术以及如何通过控制返回地址来实现特定功能调用的理解[^2]。 ##### 实际操作流程 考虑如下C代码片段展示了一个存在缓冲区溢出风险的服务端程序逻辑: ```c __int64 __fastcall main(int a1, char **a2, char **a3) { char s[64]; char v5[64]; write(1, "-Warm Up-\n", 0xAuLL); write(1, "WOW:", 4uLL); sprintf(s, "%p\n", sub_40060D); write(1, s, 9uLL); write(1, ">", 1uLL); return gets(v5); // 存在一个危险函数gets导致潜在的安全隐患 } int sub_40060D() { return system("cat flag.txt"); } ``` 上述代码中,由于使用了不安全的输入读取方式(`gets`),使得攻击者能够向变量`v5`写入超过其定义长度的数据,从而覆盖掉堆栈上的其他重要信息,包括函数返回后的指令指针(RIP)[^3]。 ##### 利用技巧说明 当面对此类基于ROP(Return-Oriented Programming)机制的问题时,核心在于找到合适的gadget组合以完成预期的操作序列。例如,在本案例里,可以通过精心构造payload去定位到`pop rdi; ret`这样的 gadget 来设置参数传递给后续要执行的关键API `system()` 函数之前所必需的目标字符串地址(即指向 `/bin/sh\x00` 或 `"cat flag"` 的内存位置),进而达到获取shell或读取文件的目的[^4]。 #### Python脚本编写指南 下面给出一段用于自动化发送恶意载荷并与目标服务交互的小型Python客户端示例代码: ```python from pwn import * # 连接到远程服务器 conn = remote('target_ip', target_port) # 构造 payload 并发送至远端进程 exploit_payload = b'A' * offset_to_RIP + pack(address_of_pop_rdi_ret_gadget) + ... # 完整有效负载取决于具体情况 conn.sendline(exploit_payload) # 接收响应数据并打印出来 print(conn.recvall().decode()) ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值