HCTF 2018 Warmup

原题复现:https://gitee.com/xiaohua1998/hctf_2018_warmup

考察知识点:文件包含漏洞(phpmyadmin 4.8.1任意文件包含)

线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用协会内部的CTF训练平台找到此题

过程

访问页面查看源码发现注释里面的内容访问它

访问获得index.php的源码

payload:http://03b2cc85-7af4-439b-a06e-41da80ff6505.node3.buuoj.cn/index.php?file=source.php
 1  <?php

 2     highlight_file(__FILE__);

 3     class emmm

 4     {

 5         public static function checkFile(&$page)

 6         {

 7             $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

 8             if (! isset($page) || !is_string($page)) {

 9                 echo "you can't see it";

10                 return false;

11             }

12

13             if (in_array($page, $whitelist)) {

14                 return true;

15             }

16

17             $_page = mb_substr(

18                 $page,

19                 0,

20                 mb_strpos($page . '?', '?')

21             );

22             if (in_array($_page, $whitelist)) {

23                 return true;

24             }

25

26             $_page = urldecode($page);

27             $_page = mb_substr(

28                 $_page,

29                 0,

30                 mb_strpos($_page . '?', '?')

31             );

32             if (in_array($_page, $whitelist)) {

33                 return true;

34             }

35             echo "you can't see it";

36             return false;

37         }

38     }

39

40     if (! empty($_REQUEST['file'])

41         && is_string($_REQUEST['file'])

42         && emmm::checkFile($_REQUEST['file'])

43     ) {

44         include $_REQUEST['file'];

45         exit;

46     } else {

47         echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";

48     }

49 ?>

PHP逻辑运算符

&&逻辑与

||逻辑或运算符

!empty($_REQUEST['file'])要我们的file变量不为空我们先进行分析这段代码 首先看80行第一个要求

is_string($_REQUEST['file'])要求我们传进来的值是字符串类型

emmm::checkFile($_REQUEST['file'])这里将我们的的值传到emmm类里面的checkFile函数

这三个值通过&&逻辑与运算符连接也就是要求这块函数的返回值要全为真才能执行if里面的文件包含的代码 否则就执行else里面的图片代码

 先来熟悉几个函数

//mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置
// mb_strpos (haystack ,needle )
// haystack:要被检查的字符串。
// needle:要搜索的字符串

//mb_substr() 函数返回字符串的一部分。

//str 必需。从该 string 中提取子字符串。
//start 必需。规定在字符串的何处开始。
//ength 可选。规定要返回的字符串长度。默认是直到字符串的结尾。

emmm类分析

从代码中发现新的页面hint访问获得flag文件名

payload:http://03b2cc85-7af4-439b-a06e-41da80ff6505.node3.buuoj.cn/index.php?file=hint.php

总的来说这个cehckFile这个函数进行了 3次白名单检测、 2次问好过滤、一次URL解码

 1   class emmm

 2     {

 3         public static function checkFile(&$page)

 4

 5         {

 6             //白名单列表

 7             $whitelist = ["source"=>"source.php","hint"=>"hint.php"];

 8             //isset()判断变量是否声明is_string()判断变量是否是字符串 &&用了逻辑与两个值都为真才执行if里面的值

 9             if (! isset($page) || !is_string($page)) {

10                 echo "you can't see it A";

11                 return false;

12             }

13             //检测传进来的值是否匹配白名单列表$whitelist 如果有则执行真

14             if (in_array($page, $whitelist)) {

15                 return true;

16             }

17             //过滤问号的函数(如果$page的值有?则从?之前提取字符串)

18             $_page = mb_substr(

19                 $page,

20                 0,

21                 mb_strpos($page . '?', '?')//返回$page.?里卖弄?号出现的第一个位置

22             );

23

24              //第二次检测传进来的值是否匹配白名单列表$whitelist 如果有则执行真

25             if (in_array($_page, $whitelist)) {

26                 return true;

27             }

28             //url对$page解码

29             $_page = urldecode($page);

30

31             //第二次过滤问号的函数(如果$page的值有?则从?之前提取字符串)

32             $_page = mb_substr(

33                 $_page,

34                 0,

35                 mb_strpos($_page . '?', '?')

36             );

37             //第三次检测传进来的值是否匹配白名单列表$whitelist 如果有则执行真

38             if (in_array($_page, $whitelist)) {

39                 return true;

40             }

41             echo "you can't see it";

42             return false;

43         }

44     }

我们现在可以构造获取flag的语句

hint.php?../../../../../ffffllllaaaagggg 我们可以想象他传入checkFile函数要经历 第一次白名单验证 一次?过滤后他就是hint.php 再进行一次白名单验证 返回为真 则达成条件进行包含得到flag

最终payload:http://03b2cc85-7af4-439b-a06e-41da80ff6505.node3.buuoj.cn/index.php?file=hint.php?../../../../../ffffllllaaaagggg 
												


											
[原题复现]HCTF 2018 Warmup(文件包含)的更多相关文章
	

    
								
  1. [原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)
		
    简介  原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40)  考察知识点:escapeshellarg和escap ...
    
		
    2. 
						
  2. [原题复现]2018护网杯(WEB)easy_tornado(模板注入)
		
    简介 原题复现:  考察知识点:模板注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 [护网杯 2018]eas ...
    
		
    3. 
						
  3. [原题复现+审计][网鼎杯 2018] WEB Fakebook(SSRF、反序列化、SQL注入)
		
    简介  原题复现:  考察知识点:SSRF.反序列化.SQL注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 过 ...
    
		
    4. 
						
  4. [原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
		
    简介  原题复现:  考察知识点:无参数命令执行.绕过filter_var(), preg_match()  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使 ...
    
		
    5. 
						
  5. [原题复现][CISCN 2019 初赛]WEB-Love Math(无参数RCE)[未完结]
		
    简介  原题复现:  考察知识点:无参数命令执行  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 源码审计 代码 1 ...
    
		
    6. 
						
  6. [原题复现]BJDCTF2020 WEB部分全部解
		
    简介  原题复现:https://gitee.com/xiaohua1998/BJDCTF2020_January  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学 ...
    
		
    7. 
						
  7. [原题复现+审计][ZJCTF 2019] WEB NiZhuanSiWei(反序列化、PHP伪协议、数组绕过)
		
    简介  原题复现:https://github.com/CTFTraining/zjctf_2019_final_web_nizhuansiwei/  考察知识点:反序列化.PHP伪协议.数组绕过   ...
    
		
    8. 
						
  8. [原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]
		
    简介  原题复现:  考察知识点:反序列化.数组绕过  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组 ...
    
		
    9. 
						
  9. [原题复现+审计][SUCTF 2019] WEB CheckIn(上传绕过、.user.ini)
		
    简介  原题复现:https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn  考察知识点:上传绕过..user.ini  线上平台:h ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 本地ssh快速登录 ssh免密登录
			
    每次登录都要ssh -p wang@xx.xx.xx.xx 虽然做了公钥验证 https://www.cnblogs.com/php-linux/p/10795913.html 不需要输入密码,但是每 ...
    
			
    2. 
						
  2. Python函数递归调用
			
    函数的递归调用: 是函数嵌套调用的一种特殊形式 具体是指: 在调用一个函数的过程中又直接或间接地调用到了本身 # 直接调用本身 def func(): print('我是func') func() f ...
    
			
    3. 
						
  3. CSDN的Markdown编辑器实用技巧(傻瓜式教程)
			
    markdown编辑器被很多人声称是可以取代word的文字编辑器,其优点我们在这就不再过多赘述了,但对于一些初次接触的人来说,或多或少都有还些不适应,其主要原因在于一些常见的功能突然不知道怎么实现,所 ...
    
			
    4. 
						
  4. Docker学习笔记之-通过Xshell连接 CentOS服务
			
    上一节演示如何在虚拟机中安装 CentOS服务,Docker学习笔记之-在虚拟机VM上安装CentOS 7.8 本节主要演示如何通过 Xshell软件链接CentOS服务,本例以虚拟机作为演示,直接在 ...
    
			
    5. 
						
  5. 国内首个 .NET 5 框架 Fur 斩获 1000 stars,1.0.0-rc.final.20 发布
			
          Fur 是 .NET 5 平台下企业应用开发最佳实践框架. 通往牛逼的路上,风景差得让人只想说脏话,但我在意的是远方. 啥环境 早在 1998 年微软公司对外发布 .NET/C# 平台的那 ...
    
			
    6. 
						
  6. 没事学学KVM(五)虚拟机基础管理
			
    1.今天学习一下KVM的开机自启功能.开机启动,即随宿主机启动而启动 virsh autostart vm-name 开机自启的前提是libvirt功能也是开机启动的:systemctl enable ...
    
			
    7. 
						
  7. onedrive同步其他任意文件夹
			
    经过多次尝试,成功同步其他文件夹内容到onedrive,最后那次尝试是成功的,前面是可能犯的错误.注意3点:1. 用管理员身份运行cmd:2. 路径有空格时用双引号括起来:3. /d后面接的第一个路径 ...
    
			
    8. 
						
  8. Graph-GraphSage
			
    MPNN很好地概括了空域卷积的过程,但定义在这个框架下的所有模型都有一个共同的缺陷: 1. 卷积操作针对的对象是整张图,也就意味着要将所有结点放入内存/显存中,才能进行卷积操作.但对实际场景中的大规模 ...
    
			
    9. 
						
  9. es6 新的数组操作
			
    ES6数组新增的几个方法 2017年03月24日 13:38:04 tang15886395749 阅读数:10461 标签: ES6数组新增方法 更多 个人分类: js相关   关于数组中forEa ...
    
			
    10. 
						
  10. error:docker-ce conflicts with 2:docker-1.13.1-74.git6e3bb8e.el7.centos.x86_64
			
    问题原因:安装docker之前有安装cockpit-docker服务 解决方法:卸载docker-ce [root@localhost ~]# yum list installed | grep do ...
    
			
    11.