Buuctf-Web-[HCTF 2018]WarmUp

来源:https://www.cnblogs.com/takagisan/archive/2022/05/12/16262714.html
-Advertisement-
Play Games

前言 刷題地址:https://buuoj.cn/challenges 首先打開是一個笑臉,查看源代碼,如下圖發現了,一個文件 一.代碼分析 發現是一堆代碼,需要PHP代碼審計,全部代碼如下。 1 <?php 2 highlight_file(lxx_file); 3 class emmm 4 { ...


前言

刷題地址:https://buuoj.cn/challenges


首先打開是一個笑臉,查看源代碼,如下圖發現了,一個文件

image

一.代碼分析

發現是一堆代碼,需要PHP代碼審計,全部代碼如下。

1 <?php
2    highlight_file(__FILE__);
3    class emmm
4    {
5        public static function checkFile(&$page)
6        {
7            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
8            if (! isset($page) || !is_string($page)) {
9                echo "you can't see it";
10                return false;
11           }
12
13            if (in_array($page, $whitelist)) {
14                return true;
15            }
16
17            $_page = mb_substr(
18                $page,
19                0,
20                mb_strpos($page . '?', '?')
21            );
22            if (in_array($_page, $whitelist)) {
23                return true;
24            }
25
26            $_page = urldecode($page);
27            $_page = mb_substr(
28                $_page,
29                0,
30                mb_strpos($_page . '?', '?')
31            );
32            if (in_array($_page, $whitelist)) {
33                return true;
34            }
35            echo "you can't see it";
36            return false;
37        }
38    }
39
40    if (! empty($_REQUEST['file'])
41        && is_string($_REQUEST['file'])
42        && emmm::checkFile($_REQUEST['file'])
43    ) {
44        include $_REQUEST['file'];
45        exit;
46    } else {
47        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
48    }  
49  ?> 

查看到了關鍵字眼hint.php

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

我們訪問這個文件查看,如下圖,發現flag在ffffllllaaaagggg裡面

首先先看40-48行的內容! empty($_REQUEST['file']的意思是傳參file不能為空

is_string($_REQUEST['file']的意思是傳參必須要字元串

emmm::checkFile($_REQUEST['file']這句話的意思是要經過checkFile函數的檢查

如果都為真那麼就執行include $_REQUEST['file'];包含文件

如果為否那麼就輸出滑稽圖片

由此可以總結

1.file傳參不能為空

2.file傳參必須要字元串

3.需要經過checkFile函數的檢測

40    if (! empty($_REQUEST['file'])
41        && is_string($_REQUEST['file'])
42        && emmm::checkFile($_REQUEST['file'])
43    ) {
44        include $_REQUEST['file'];
45        exit;
46    } else {
47        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
48    }  

接下來來看看,函數代碼為5-38行,首先來看第一個if語句issset()函數判斷是否設置了$page,或者如果$page不是字元串就輸出you can't see it然後返回為假。

第二個if語句判斷的是$page是否在$whitelist裡面,如果在那麼就返回true。

然後17行-21行是截取$page?前面的東西mb_substr()函數是截取,mb_strpos()涵數是判斷字元串首次出現的位置就是,截取$page0-?首次出現的位置的地方也就是截取?前面的東西

22-24行又判斷$page是否在$whitelist裡面如果有那麼就返回true

26行對傳參進行了一次url編碼解碼

27-31又進行了一次截取

32-34又進行了一次判斷是否在$whitelist裡面,如果有那麼就返回true

總結來說

1.第一個if判斷是$是否設置了值或者是$page是否為字元串,如果不是返回false

2.第二個if判斷的是$page是否在$whitelist列表裡面如果在就返回true

3.第三個語句是截取$page問號前面的東西

4.第四個語句會對$page進行一次url編碼的解碼,加上瀏覽器就是兩次解碼

5.第五個語句還是截取$page問好前面的東西

6.最後一個語句判斷$page是否在$whitelist裡面

如果上面四個if語句都沒返回那麼就返回false

class emmm
4    {
5        public static function checkFile(&$page)
6        {
7            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
8            if (! isset($page) || !is_string($page)) {
9                echo "you can't see it";
10                return false;
11           }
12
13            if (in_array($page, $whitelist)) {
14                return true;
15            }
16
17            $_page = mb_substr(
18                $page,
19                0,
20                mb_strpos($page . '?', '?')
21            );
22            if (in_array($_page, $whitelist)) {
23                return true;
24            }
25
26            $_page = urldecode($page);
27            $_page = mb_substr(
28                $_page,
29                0,
30                mb_strpos($_page . '?', '?')
31            );
32            if (in_array($_page, $whitelist)) {
33                return true;
34            }
35            echo "you can't see it";
36            return false;
37        }
38    }

所以經過上面的判斷,payload應該是如下,測試其實不需要兩次編碼都可以,因為?的解碼還是?所以也可以直接/source.php?file=source.php?../../../../../../../../../../ffffllllaaaagggg

/source.php?file=source.php%253f../../../../../../../../../../ffffllllaaaagggg

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 環境 python 版本3.6.4 gevent 1.5.0 gunicorn 20.1.0 錯誤 RecursionError: maximum recursion depth exceeded while calling a Python object 錯誤原因 根據錯誤棧,出問題的代碼在pyt ...
  • 前言 **基礎篇鏈接:**https://www.cnblogs.com/xiegongzi/p/16229678.html 3.9、延遲隊列 - 重要 3.9.1、延遲隊列概念 這個玩意兒要表達的意思其實已經見過了,就是死信隊列中說的TTL消息過期,但是文字表達得換一下 所謂的延遲隊列:就是用來存 ...
  • AQS源碼探究 競爭鎖資源 我們進入ReentrantLock源碼中查看其內部類 Sync 對AQS進行擴展公共方法並定義抽象方法的抽象類 FaireSync 實現公平鎖的AQS的實現類 UnFairSync 實現非公平鎖的ASQ的實現類 我使用例子進行的debug,然後一步一步看源碼。例子在文章最 ...
  • 前言 大麥網是中國綜合類現場娛樂票務營銷平臺,業務覆蓋演唱會、 話劇、音樂劇、體育賽事等領域今天,我們要用代碼來實現他的購票過程 先來看看完成後的效果是怎麼樣的 對於本篇文章有疑問的同學可以加【資料白嫖、解答交流群:753182387】 開發環境 版 本:anaconda(python3.8.8) ...
  • 以前我們定義類都是用class關鍵詞,但從Java 16開始,我們將多一個關鍵詞record,它也可以用來定義類。record關鍵詞的引入,主要是為了提供一種更為簡潔、緊湊的final類的定義方式。 下麵就來具體瞭解record類的細節。配套視頻教程:Java 16 新特性:使用record聲明類 ...
  • Spring Ioc源碼分析系列--Ioc容器BeanFactoryPostProcessor後置處理器分析 前言 上一篇文章Spring Ioc源碼分析系列--Ioc源碼入口分析已經介紹到Ioc容器的入口refresh()方法,並且分析了refresh()方法裡面的前三個子方法分析了一下。還記得分 ...
  • Predicate<T>:常用的四個方法 boolean test(T t):對給定的參數進行判斷(判斷邏輯由Lambda表達式實現),返回一個布爾值 default Predicate<T>negate():返回一個邏輯的否定,對應邏輯非 default Predicate<T>and(Predi ...
  • 停更這些天,業餘時間和粉絲群的幾個大佬合作寫了一個基於Spring Authorization Server的OAuth2授權伺服器的管理控制台項目Id Server,我覺得這個項目能夠大大降低OAuth2授權伺服器使用難度。可以讓你很方便地去管理OAuth2客戶端信息,甚至可以一鍵生成OAuth2 ...
一周排行
    -Advertisement-
    Play Games
  • 分組和樹形結構是不一樣的。 樹形結構是以遞歸形式存在。分組是以鍵值對存在的形式,類似於GroupBy這樣的形式。 舉個例子 ID NAME SEX Class 1 張三 男 1 2 李四 女 2 3 王二 男 1 當以Sex為分組依據時則是 Key Value 男 1 張三 男 1 3 王二 男 1 ...
  • NetCore中將SQLServer資料庫備份為Sql腳本 描述: 最近寫項目收到了一個需求, 就是將SQL Server資料庫備份為Sql腳本, 如果是My Sql之類的還好說, 但是在網上搜了一大堆, 全是教你怎麼操作SSMS的, 就很d疼! 解決方案: 通過各種查找資料, 還有一些老哥的幫助, ...
  • 我的Notion Clowd.Squirrel Squirrel.Windows 是一組工具和適用於.Net的庫,用於管理 Desktop Windows 應用程式的安裝和更新。 Squirrel.Windows 對 Windows 應用程式的實現語言沒有任何要求,甚至無需服務端即可完成增量更新。 ...
  • 轉載請註明來源 https://www.cnblogs.com/brucejiao/p/16188865.html 謝謝! 轉載請註明來源 https://www.cnblogs.com/brucejiao/p/16188865.html 謝謝! 轉載請註明來源 https://www.cnblog ...
  • 1. Netty源碼研究筆記(3)——Channel系列 依舊是通過先縱向再橫向的研究方法,在開篇中,我們發現不管是Sever還是Client,最終的啟動是通過調用channel的對應方法來完成的,而這個動作實際在channel綁定的eventLoop中執行。 接下來,我們繼續EchoSever、E ...
  • 大家好,今天給大家介紹一款輕量、快速、穩定可編排的組件式規則引擎框架LiteFlow。 一、LiteFlow的介紹 LiteFlow官方網站和代碼倉庫地址 官方網站:https://yomahub.com/liteflow Gitee托管倉庫:https://gitee.com/dromara/li ...
  • 我使用Spring AOP實現了用戶操作日誌功能 今天答辯完了,復盤了一下系統,發現還是有一些東西值得拿出來和大家分享一下。 需求分析 系統需要對用戶的操作進行記錄,方便未來溯源 首先想到的就是在每個方法中,去實現記錄的邏輯,但是這樣做肯定是不現實的,首先工作量大,其次違背了軟體工程設計原則(開閉原 ...
  • 《零基礎學Java》 繪製幾何圖形 Java可以分別使用 Graphics 和 Graphics2D 繪製圖形,Graphics類 使用不同的方法繪製不同的圖形(drawLine()方法可f以繪製線、drawRect()方法用於繪製矩形、drawOval()方法用於繪製橢圓形)。 Graphics類 ...
  • 本期教程人臉識別第三方平臺為虹軟科技,本文章講解的是人臉識別RGB活體追蹤技術,免費的功能很多可以自行搭配,希望在你看完本章課程有所收穫。 ...
  • 很多人都喜歡使用黑色的主題樣式,包括我自己,使用了差不多三年的黑色主題,但是個人覺得在進行視窗轉換的時候很廢眼睛。 比如IDEA是全黑的,然後需要看PDF或者WORD又變成白色的了,這樣來回切換導致眼睛很累,畢竟現在網頁以及大部分軟體的界面都是白色的。那麼還是老老實實的使用原來比較順眼的模式吧。 1 ...