BUUWEB [HCTF 2018]WarmUp

最新推荐文章于 2025-06-02 11:32:48 发布
原创 最新推荐文章于 2025-06-02 11:32:48 发布 · 367 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何通过代码审计来解决Web安全问题,特别是针对一个PHP代码实例,解释了isset(), is_string(), in_array()等函数的用法,并展示了如何利用这些函数的组合来构造有效参数,以绕过安全检查获取flag。通过分析代码流程,揭示了两种可能的解决方案,涉及URL编码和字符串截取技巧。

对于我这种新人菜鸡来说,如果拿到web题不知道是哪方面的话,一般就是F12查看源代码,抓包,扫描挨个试试看能找到什么线索。在buu上这道题给了提示,是代码审计,打开网址后是一个滑稽,没有代码,既然是代码审计,网页又没有显示代码也没文件,那一般就是审计源代码,查看页面源代码,可以发现一个明显的提示,source.php一般就是存放源代码的文件了,在原网页上包含该文件,即可看到源代码。
在这里插入图片描述

审计是我们需要先了解几个函数的作用:

isset(): 判断变量是否声明;

is_string(): 判断变量是否是字符串;

in_array(search,array): 判断array中是否存在search;

mb_substr(): 函数返回字符串的一部分
在这里插入图片描述
参考菜鸟教程:https://www.runoob.com/php/func-string-mb_substr.html

mb_strpos(haystack,needle): 在 haystack 中查找needle第一次出现的位置 ;

empty — 检查一个变量是否为空
参考 :https://www.php.net/manual/zh/function.empty.php

_REQUEST[]:具用_POST[] _GET[]的功能,但是_REQUEST[]比较慢。通过post和get方法提交的所有数据都可以通过_REQUEST数组获得

开始代码审计:

<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            //得到另外一个文件hint.php,包含得到flag的文件名
            
            //isset()判断变量是否声明,is_string()判断变量是否是字符串
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
            
			//检测传进来的值是否匹配白名单列表$whitelist 如果有则执行真
            if (in_array($page, $whitelist)) {            
                return true;
            }

			//过滤问号的函数(如果$page的值有?则从?之前提取字符串)
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            
            //第二次检测传进来的值是否匹配白名单列表$whitelist
            if (in_array($_page, $whitelist)) {
                return true;
            }
			
			//对$page进行url解码
            $_page = urldecode($page);
			
			 //第二次过滤问号的函数(如果$page的值有?则从?之前提取字符串)
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            
            //第三次检测传进来的值是否匹配白名单列表$whitelist
            if (in_array($_page, $whitelist)) {
                return true;
            }

			//若以上都没通过,则返回false
            echo "you can't see it";
            return false;
        }
    }

//---------------------------------------------------------------

	//这里就到了文件包含,需要传入的参数file不为空且是字符串,经过class emmm的检测,即emmm返回真,则包含file	
    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

在这里插入图片描述
整个梳理出来就是:

第一个if语句 对变量进行检验,要求page为字符串,否则返回false

第二个if语句 判断page是否存在于whitelist数组中,存在则返回true

第三个if语句 判断截取后的page是否存在于whitelist数组中,存在则返回true

截取page中’?'前的部分

第四个if语句 判断url解码并截取后的page是否存在于whitelist中,存在则返回true

若以上四个if语句均未返回值,则返回false

传入的参数file不为空且是字符串,经过class emmm的检测,即emmm返回真,则开始包含file。

这样,我们就可以开始构造file
有三个if语句可以返回true,第二个语句直接判断$page,不可用。

第一种(利用第三个if):
…/source.php?file=hint.php?../…/…/…/…/ffffllllaaaagggg

先经历第一个if,什么也没有返回,因为不满足条件不返回true,满足条件返回false;
第二个if:匹配白名单,失败,不返回true;
截取file 中 “?”之前的内容hint.php,并传入下一个if;
第三个if:
匹配白名单:返回true。
打印flag文件内容

第二种(利用第四个if,对“?”进行两次URL编码(但经过我的实践,编码一次也可以)):
…/source.php?file=source.php%253f…/…/…/…/…/ffffllllaaaagggg

先经历第一个if,什么也没有返回,因为不满足条件不返回true,满足条件返回false;
第二个if:匹配白名单,失败,不返回true;
截取file 中 “?”之前的内容hint.php,并传入下一个if;
第三个if:匹配失败,对参数进行url解码,先进行url解码再截取;
第四个if:因为在服务器端提取参数时解码过一次,故第三次if匹配失败后经过解码仍为’?’,通过第四个if语句校验。(’?‘两次编码值为’%253f’)。
打印flag文件内容

注意:…/ 有多少个并不清楚,应为不知道flag在底几层目录里,需要从没有开始一次加一个去尝试。

star-feather
关注
buu-WEB-不是文件上传
m0_52061428的博客
01-24 590
他将传入的数据中的" * "替换成了"\0\0\0",符合这一要求的只有我们构建的序列化语句,所以我们也要进行操作。大致就是这么运行的,helper.php中没有被运行的有view_files()和__destruct()先快速审计一下,发现其余两个文件都在包含helper.php,所以着重看helper.php。这题主要考验代码审计能力和对sql的熟悉程度,不过有一说一,题量确实大。这里让我联想到了反序列化。_destruct被触发时,view_file才会被调用,并且view。这是他的三个php文件。
buu web:warm up(PHP代码审计)
m0_55378150的博客
03-28 2747
启动靶机,发现了这么个玩意 查看一手源代码 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edg
BUUCTF__[HCTF 2018]WarmUp_题解
风过江南乱的博客
04-24 1747
第一次写题解,以此来做一个学习记录。 首先拿到题目,打开看到一张滑稽 F12查看源代码,获知source.php,并访问,发现是一段php代码,进行代码审计 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) ...
buu——web
weixin_73668856的博客
11-29 532
新手web
CTF-BUUCTF-[HCTF 2018]WarmUp
qq_42404383的博客
12-24 5891
[HCTF 2018]WarmUp 题目: 知识点: 根据提示,毫无疑问,PHP代码审计 解题 一、访问链接 /index.php?file=hint.php 是一个文件包含,source.php 是 index.php 的源代码。 得到提示,flag 在 ffffllllaaaagggg 里 二、代码审计: <?php highlight_file(__FILE__); ...
BUUCTF[HCTF 2018]WarmUp 1
10-21
【知识点解析】 1. **源代码查看与漏洞分析**: 在CTF(Capture The Flag)竞赛中,查看源代码是获取服务器端脚本逻辑的重要手段。通过观察源代码,可以理解程序的运行机制、判断逻辑和潜在漏洞。...
BUUCTF[HCTF 2018]WarmUp 1题解
最新发布
2301_79896143的博客
06-02 1170
BUUCTF[HCTF 2018]WarmUp题解:通过分析滑稽表情页面的PHP源码,发现文件包含漏洞。代码审计显示程序以白名单方式检查文件参数,但可通过构造payload绕过。利用hint.php提示的flag文件名,在参数后添加?/../../../../路径遍历访问根目录的ffffllllaaaagggg文件。最终通过多层../目录跳转获取flag{966bef86-ebda-43d8-8703-8e6a57b211de}。考察PHP代码审计和目录遍历漏洞利用能力。
BUUCTF——Web之HCTF 2018 WarmUp
cai_huaer的博客
02-20 1039
ffffllllaaaagggg”,发现没有“you can't see it”提示,页面是一片空白后,应该是跑到了include那去了,只是可能位置不对。仔细看checkFile方法,发现当page值是hint.php/ffffllllaaaagggg时,下面方法是false。再看一下代码,如果是文件夹,那么我们能用include漏洞去文件包含,那么需要执行到include那一行代码,需要前面三个条件都为真。的字符串,只要符合$whitelist数组中的值就行,source.php和hint.php。
[HCTF 2018]WarmUp1
whale_waves的博客
10-11 220
include函数有一个机制,如果你直接访问文件比如说index.php,他就会在当前目录下取寻找,添加../是返回上一级的意思,./的意思是就在这个路径寻找。所以最后的payload:/index.php?,最后触发include包含函数还需要url中有file。进行代码分析,每行代码都有代码分析方便记住,以及做笔记。查看源代码有提示,访问source.php。首先先访问hint.php。简单php代码审计题。
buu[HCTF 2018]WarmUp 代码审计 php
2302_79359652的博客
02-05 1044
1、网站默认页面,负责展示网站内容;2、处理和执行传递给该页面的请求参数,并根据不同参数返回不同结果;3、作为框架的入口,方便控制整个网站请求的管理;4、作为API的入口,方便数据交互和处理。后缀加/index.php可以直接进行访问,后再加一个“?”进行GET或POST传参。
BUU WEB [强网杯 2019]随便注
star_feather的博客
01-19 290
打开网页,只有一个1,直接提交回显出数据,提交2回显数据,提交其他的就没有回显了。 根据题目“随便注”初步判断它应该是一个SQL注入,尝试一下 1’ ,报错: 说明我们的判断是正确的,接下来就是正常程序: order by报字段数: 1' order by 2 # 到三时报错,说明有两个字段, 联合查询报库名: 1' union select1,2# 得到的回复却是他过滤了一些关键字。 关于preg_match函数可参考菜鸟教程: https://www.runoob.com/php/php-p
BUU WEB [极客大挑战 2019]Http
star_feather的博客
01-26 419
打开网址,是一个正常的广告网站,老规矩,先查看源代码,发现最后一句话的中间夹杂着一个文件: 直接点开访问: 提示必须从这个网址访问,但这个网址里面并没有这个链接,那要怎么办?题目是http,那么还记得刚开始学http协议时抓包并介绍的信息头吗?那解决方法就来了!抓包改包! 头部的信息介绍请看这篇(赶紧增加一下访问量,哈哈):https://blog.youkuaiyun.com/star_feather/article/details/104468559 回归正题,我们先抓包,为了方便将包发送到重发器,然后在头部加
BUUCTF [HCTF 2018]WarmUp
m0_49025459的博客
04-06 2279
题目 打开环境发现啥也没有,那就直接看看源码 源码,发现有个source.php,那么直接修改url访问一下子 <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible"
BUUCTF[HCTF 2018]WarmUp
GUOGUO的博客
04-15 2847
BUUCTF[HCTF 2018]WarmUp 一进去题目看到: 直接查看页面源代码,看到:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZAHHvF5K-1650035641957)(https://s2.loli.net/2022/04/15/dw1EaQytsnb5xqI.png)] 由此,我们知道有一个source.php 于是,尝试直接在链接后面加上/source.php,得到源代码: 由此对代码进行分析: 入口在下面的 if 语句中,下面来分析一下代码: 可以看
BUU WEB刷题记录1(持续更新)
Sapphire037的博客
05-19 1375
buu web:Ping Ping Ping(命令执行)
m0_55378150的博客
04-07 973
打开靶机,提示get传参 直接?ip=127.0.0.1 返回ping的结果,接着试一下命令执行?ip=127.0.0.1|ls 发现疑似flag的flag.php,试一下能不能直接读出来?ip=127.0.0.1|cat flag.php 果然没这么简单,空格被过滤了,百度了一下绕过的方法 cat flag.txt cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt 挨个试一下,发现..
BUUCTF日记--[HCTF 2018]WarmUp
weixin_41607190的博客
03-30 925
f12看页面元素,发现提示,访问 函数从这里开始运行,接收一个变量file,传递到checkFile这个函数里面 主要审计的代码就是这一块,全部返回true之后就可以执行上面的include语句,访问文件,我们看看每个if条件句 在class里面有4个if条件语句 第一个if语句判断变量$page是不是字符串,不是则返回false 第二个if语句判断变量$page是否是白名单数组中的字符串,是则返...
Buuctf [HCTF 2018]WarmUp
qq_52718293的博客
05-23 356
打开之后先用F12看看有什么,可以看到提示source.php 所以尝试在url后加/source.php看看能得到什么 得到一段php代码 可以得出这道题的考点是代码审计 然后细读一下代码的大致含义 函数从此处开始,接收变量file,传递到checkFile函数里 代码审计主要是另一半图的代码,大致可以说成是四个if,如果全部返回true,就可执行上面图的include语句,访问文件 第一个if语句 判断变量page是不是字符串,不是则返回false 第二个if语句 再判断page是否是白名单数组中的字符
BUU-web HardSQL
qq_46635165的博客
10-18 385
知识点: sql显错注入 显错注入:简单来说,就是通过某些函数回显的报错信息来获取我们想要的数据; 例如: mysql的 updatexml() 函数:由于 select user() 查询出的数据不符合 XPATH 语法,从而报错,顺便将 select user() 这条语句执行,并将结果以报错的方式显示出来; 解题: 打开解题网址,账户密码登录框,尝试单引号报错,报错成功; 单引号闭合,并 # 号注释:闭合成功; 接下来尝试 order by 字段猜测,发现 被过滤:并且过滤了 union ,a.
[HCTF 2018]WarmUp 1
04-01
<think>好的,我现在需要帮用户解决HCTF 2018 WarmUp题目的解题思路。首先,我应该先回忆一下这个题目的基本情况。根据用户提供的引用内容,这题可能涉及到Web安全方面的挑战,比如CTF题目常见的漏洞类型,比如文件包含、代码审计等。 用户提到参考站内引用中的第三部分是关于[HCTF 2018]WarmUp的解题思路,所以首先需要从这些信息中提取关键点。根据引用中的描述,解题思路可能涉及几个步骤:首先访问页面,查看源代码;然后发现提示,比如source.php;接着分析该文件的内容,寻找可能的漏洞点,比如文件包含或PHP伪协议利用。 接下来,我需要详细拆解每个可能的步骤。比如,第一步访问网站后,查看页面源代码,可能会发现注释中的提示,例如source.php文件。访问这个文件后,可能会得到PHP代码,这时候需要进行代码审计。代码中可能存在文件包含漏洞,比如使用include或require函数,并且参数未经过滤或过滤不严。 在代码审计过程中,需要关注如何绕过安全措施。例如,代码中可能检查参数是否在白名单中,或者是否以特定字符串开头。这时候可能要用到目录穿越,比如使用../../../../etc/passwd这样的路径,或者利用PHP伪协议如php://filter来读取源代码。 另外,可能还需要考虑服务器的文件结构,比如flag文件的位置,常见的如/flag,/var/www/html/flag.txt等。通过构造合适的payload,利用文件包含漏洞来读取这些文件。 还需要注意题目是否有其他陷阱,比如需要绕过strpos检查,或者利用二次编码来绕过过滤。例如,如果代码检查参数是否以某个字符串开头,可以通过编码绕过,比如使用%2566来代表f,因为服务器可能进行两次URL解码。 然后,总结解题步骤:查看源代码找到提示文件,审计代码找漏洞点,构造payload绕过过滤,读取flag文件。同时,要确保每一步都符合题目的具体设置,可能不同的题目会有不同的过滤方式,需要根据实际情况调整payload。 最后,生成相关问题,覆盖文件包含漏洞、PHP伪协议、代码审计等方面,帮助用户深入理解相关知识点。</think>### [HCTF 2018]WarmUp 解题思路 #### 1. 初始页面与源代码分析 - 访问题目地址后,页面显示一个卡通笑脸表情。 - **关键操作**:查看页面源代码,发现注释中提示 `source.php`,访问该路径获取服务器端PHP代码[^1]。 #### 2. 代码审计关键点 ```php <?php class emmm { public static function checkFile(&$page) { $whitelist = ["source" => "source.php", "hint" => "hint.php"]; if (!isset($page) || !is_string($page)) { echo "you can't see it"; return false; } if (in_array($page, $whitelist)) { return true; } $_page = mb_substr($page, 0, mb_strpos($page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } $_page = urldecode($page); $_page = mb_substr($_page, 0, mb_strpos($_page . '?', '?')); if (in_array($_page, $whitelist)) { return true; } echo "you can't see it"; return false; } } if (empty($_REQUEST['file'])) { include 'hint.php'; } else { $file = $_REQUEST['file']; if (emmm::checkFile($file)) { include $file; } else { echo "you can't see it"; } } ``` - **漏洞点**:`include $file` 存在文件包含漏洞,但需通过 `checkFile()` 校验。 - **绕过逻辑**: 1. `$whitelist` 白名单仅允许 `source.php` 和 `hint.php`。 2. 利用 `mb_substr` 截取 `?` 前的路径,结合多次URL解码绕过检查。 #### 3. 构造Payload读取flag - **hint.php提示**:`flag not here, and flag in ffffllllaaaagggg`(暗示flag文件路径)。 - **Payload构造**: ```url file=source.php?/../../../../../ffffllllaaaagggg ``` - 原理:利用 `?` 截断路径检查,通过目录穿越访问根目录下的目标文件。 #### 4. 其他绕过方式 - **PHP伪协议**(若服务器允许): ```url file=php://filter/read=convert.base64-encode/resource=ffffllllaaaagggg ``` - **二次URL编码**(应对严格过滤): ```url file=source.php%253F/..%252F..%252F..%252F..%252F..%252Fffffllllaaaagggg ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值