2. 程式人生 > 實用技巧 >攻防世界 WEB 高手進階區 HCTF 2018 warmup Writeup

攻防世界 WEB 高手進階區 HCTF 2018 warmup Writeup

阿新 發佈:2021-01-09

攻防世界 WEB 高手進階區 HCTF 2018 warmup Writeup

題目介紹

題目來源: HCTF 2018
題目描述:warmup

題目考點

PHP程式碼審計

解題思路

  1. 開啟 http://220.249.52.134:37877

  2. 常規操作 F12 看原始碼

  3. url 輸入 http://220.249.52.134:37877/source.php 得到

<?php
    highlight_file(__FILE__); 
    class emmm
        {
            public static function checkFile(&$page)

            {
                //白名單列表
                $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
                //isset()判斷變數是否宣告is_string()判斷變數是否是字串 
                if (! isset($page) || !is_string($page)) {
                    echo "you can't see it A";
                    return false;
                }
                //檢測傳進來的值是否匹配白名單列表$whitelist 如果有則執行真
                if (in_array($page, $whitelist)) {
                    return true;
                }
                //過濾問號的函式(如果$page的值有?則從?之前提取字串)
                $_page = mb_substr(
                    $page,
                    0,
                    mb_strpos($page . '?', '?')//返回$page.?裡?號出現的第一個位置
                );

                 //第二次檢測傳進來的值是否匹配白名單列表$whitelist 如果有則執行真
                if (in_array($_page, $whitelist)) {
                    return true;
                }
                //url對$page解碼
                $_page = urldecode($page);

                //第二次過濾問號的函式(如果$page的值有?則從?之前提取字串)
                $_page = mb_substr(
                    $_page,
                    0,
                    mb_strpos($_page . '?', '?')
                );
                //第三次檢測傳進來的值是否匹配白名單列表$whitelist 如果有則執行真
                if (in_array($_page, $whitelist)) {
                    return true;
                }
                echo "you can't see it";
                return false;
            }
        }
    if (! empty($_REQUEST['file'])
            && is_string($_REQUEST['file'])
            && emmm::checkFile($_REQUEST['file'])
        ) {
            include $_REQUEST['file'];
            exit;
        } else {
            echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
        }  
?>

  1. 分析PHP原始碼看到

  2. 嘗試訪問 url http://220.249.52.134:37877/hint.php 得到flag提示 flag 在 ffffllllaaaagggg 中

  3. 回到之前的PHP原始碼,繼續分析

    整體來看,這段PHP程式碼,是一個 emmm 類和一個 if else 分支,emmm類裡有一個 checkFile 函式

    先看 下面的 if else

    if (! empty($_REQUEST['file'])		
    && is_string($_REQUEST['file'])
    && emmm::checkFile($_REQUEST['file'])
)

    當前 請求的 file 非空是字串 且 emmm::checkFile返回為真 時,條件成立

    我們可以先直接留心最後的if/else邏輯,為了不看到最後那張無語的圖片,我們需要讓第一個if語句成立,並且最關鍵在第三個函式上。同時我們需要注意include檔案讀取函式是直接讀取file,從hint.php中我們知道flag在ffffllllaaaagggg中,所以這個字串要想辦法加入到 file 中進行讀取。
    關鍵程式碼:

     $_page = mb_substr(
     $page,
     0,
     mb_strpos($page . '?', '?')

    函式簡介:

    mb_strpos()

    :返回要查詢的字串在被檢查的字串中首次出現的位置

    該函式有兩個引數,該函式的返回值是第二個引數在第一個引數中首次出現的位置(index)。

    mb_substr() :函式返回字串的一部分

    該函式有三個對應引數,第一個引數是操作字串,第二個引數是操作起始位置,第三個引數是操作字元長度。、

    if (! empty($_REQUEST['file'])
    && is_string($_REQUEST['file'])
    && emmm::checkFile($_REQUEST['file'])
   ) {
    include $_REQUEST['file'];			//重要
    exit;

    那麼整體思路就是 滿足if 條件 繞過checkFile 函式, 最終要 通過 include 讀取 flag

    嘗試構造解題 payload

    http://220.249.52.134:30663/?file=hint.php?ffffllllaaaagggg 失敗,無回顯

    我們其實已經可以從flag的檔名猜出一些真相了。我們需要將目錄回退四次,就像這美妙的名字一樣。

  4. 構造最終解題的 payload

    http://220.249.52.134:30663/?file=hint.php?/../../../../ffffllllaaaagggg

總結

這道題用到的知識點有:

  • 基礎php程式碼審計,考察三個函式: in_array、mb_substr、mbstrpos
  • 考察include的一個小特性

相關推薦

攻防世界 WEB 高手 HCTF 2018 warmup Writeup

攻防世界 WEB 高手 HCTF 2018 warmup Writeup 題目介紹 題目來源: HCTF 2018 題目描述:warmup

攻防世界-web-高手017-supersqli

方法一: 1.輸入1’發現不回顯,然後1’ #顯示正常,應該是存在sql注入了      

攻防世界 WEB 高手 tinyctf-2014 NaNNaNNaNNaN-Batman Writeup

攻防世界 WEB 高手 tinyctf-2014NaNNaNNaNNaN-BatmanWriteup 題目介紹 題目考點 瞭解js程式碼(eval函式、splice函式)

攻防世界 WEB 高手 NSCTF web2 Writeup

攻防世界 WEB 高手 NSCTF web2 Writeup 題目介紹 題目考點 php基本函式語法 加密解密函式 base64_decode()、str_rot13()

攻防世界 Reverse高手 2分題 parallel-comparator-200

技術標籤:ctfreversectf攻防世界 前言 繼續ctf的旅程 攻防世界Reverse高手的2分題 本篇是parallel-comparator-200的writeup

攻防世界 Crypto高手 3分題 wtc_rsa_bbq

技術標籤:ctfctf攻防世界cryptorsa 前言 繼續ctf的旅程 攻防世界Crypto高手的3分題 本篇是wtc_rsa_bbq的writeup

攻防世界 Crypto高手 3分題 streamgame1

技術標籤:ctfctf攻防世界crypto 前言 繼續ctf的旅程 攻防世界Crypto高手的3分題 本篇是streamgame1的writeup

攻防世界 Crypto高手 4分題 streamgame2

技術標籤:ctfctf攻防世界crypto 前言 繼續ctf的旅程 攻防世界Crypto高手的4分題 本篇是streamgame2的writeup

攻防世界 Crypto高手 4分題 safer-than-rot13

技術標籤:ctfctf攻防世界crypto詞頻分析 前言 繼續ctf的旅程 攻防世界Crypto高手的4分題 本篇是safer-than-rot13的writeup

攻防世界 Crypto高手 4分題 RSA256

技術標籤:ctfrsa攻防世界ctfcrypto 前言 繼續ctf的旅程 攻防世界Crypto高手的4分題 本篇是RSA256的writeup

攻防世界 Reverse高手 2分題 re4-unvm-me

技術標籤:ctfmd5攻防世界ctfreverse 前言 繼續ctf的旅程 攻防世界Reverse高手的2分題 本篇是re4-unvm-me的writeup

攻防世界 Crypto高手 4分題 onetimepad

技術標籤:ctfctf攻防世界crypto 前言 繼續ctf的旅程 攻防世界Crypto高手的4分題 本篇是onetimepad的writeup

攻防世界 Misc高手 5分題 halo

技術標籤:ctfctf攻防世界misc異或 前言 繼續ctf的旅程 攻防世界Misc高手的5分題 本篇是halo的writeup

攻防世界 Crypto高手 5分題 RSA_gcd

技術標籤:ctfctf攻防世界cryptorsa 前言 繼續ctf的旅程 攻防世界Crypto高手的5分題 本篇是RSA_gcd的writeup

攻防世界 Crypto高手 4分題 enc

技術標籤:ctfctf攻防世界crypto 前言 繼續ctf的旅程 攻防世界Crypto高手的4分題 本篇是enc的writeup

攻防世界 Crypto高手 6分題 Handicraft_RSA

技術標籤:ctfrsactf攻防世界crypto 前言 繼續ctf的旅程 攻防世界Crypto高手的6分題 本篇是Handicraft_RSA的writeup

攻防世界 Crypto高手 6分題 xor_game

技術標籤:ctfctf攻防世界xorcrypto 前言 繼續ctf的旅程 攻防世界Crypto高手的6分題 本篇是xor_game的writeup

攻防世界 Misc高手 7分題 感測器2

技術標籤:ctfctf攻防世界crcmisc 前言 繼續ctf的旅程 攻防世界Misc高手的7分題 本篇是感測器2的writeup

攻防世界』: | stack2

checksec: Arch:i386-32-little RELRO:Partial RELRO Stack:Canary found NX:NX enabled PIE:No PIE (0x8048000)

攻防世界』: | Mary_Morton

這道題讓我重新學了一遍格式化字串漏洞,自學真的太頂了。 checksec:開啟了canary