Buuctf-Web-[HCTF 2018]WarmUp

来源:https://www.cnblogs.com/takagisan/archive/2022/05/12/16262714.html
-Advertisement-
Play Games

前言 刷題地址:https://buuoj.cn/challenges 首先打開是一個笑臉,查看源代碼,如下圖發現了,一個文件 一.代碼分析 發現是一堆代碼,需要PHP代碼審計,全部代碼如下。 1 <?php 2 highlight_file(lxx_file); 3 class emmm 4 { ...


前言

刷題地址:https://buuoj.cn/challenges


首先打開是一個笑臉,查看源代碼,如下圖發現了,一個文件

image

一.代碼分析

發現是一堆代碼,需要PHP代碼審計,全部代碼如下。

1 <?php
2    highlight_file(__FILE__);
3    class emmm
4    {
5        public static function checkFile(&$page)
6        {
7            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
8            if (! isset($page) || !is_string($page)) {
9                echo "you can't see it";
10                return false;
11           }
12
13            if (in_array($page, $whitelist)) {
14                return true;
15            }
16
17            $_page = mb_substr(
18                $page,
19                0,
20                mb_strpos($page . '?', '?')
21            );
22            if (in_array($_page, $whitelist)) {
23                return true;
24            }
25
26            $_page = urldecode($page);
27            $_page = mb_substr(
28                $_page,
29                0,
30                mb_strpos($_page . '?', '?')
31            );
32            if (in_array($_page, $whitelist)) {
33                return true;
34            }
35            echo "you can't see it";
36            return false;
37        }
38    }
39
40    if (! empty($_REQUEST['file'])
41        && is_string($_REQUEST['file'])
42        && emmm::checkFile($_REQUEST['file'])
43    ) {
44        include $_REQUEST['file'];
45        exit;
46    } else {
47        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
48    }  
49  ?> 

查看到了關鍵字眼hint.php

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

我們訪問這個文件查看,如下圖,發現flag在ffffllllaaaagggg裡面

首先先看40-48行的內容! empty($_REQUEST['file']的意思是傳參file不能為空

is_string($_REQUEST['file']的意思是傳參必須要字元串

emmm::checkFile($_REQUEST['file']這句話的意思是要經過checkFile函數的檢查

如果都為真那麼就執行include $_REQUEST['file'];包含文件

如果為否那麼就輸出滑稽圖片

由此可以總結

1.file傳參不能為空

2.file傳參必須要字元串

3.需要經過checkFile函數的檢測

40    if (! empty($_REQUEST['file'])
41        && is_string($_REQUEST['file'])
42        && emmm::checkFile($_REQUEST['file'])
43    ) {
44        include $_REQUEST['file'];
45        exit;
46    } else {
47        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
48    }  

接下來來看看,函數代碼為5-38行,首先來看第一個if語句issset()函數判斷是否設置了$page,或者如果$page不是字元串就輸出you can't see it然後返回為假。

第二個if語句判斷的是$page是否在$whitelist裡面,如果在那麼就返回true。

然後17行-21行是截取$page?前面的東西mb_substr()函數是截取,mb_strpos()涵數是判斷字元串首次出現的位置就是,截取$page0-?首次出現的位置的地方也就是截取?前面的東西

22-24行又判斷$page是否在$whitelist裡面如果有那麼就返回true

26行對傳參進行了一次url編碼解碼

27-31又進行了一次截取

32-34又進行了一次判斷是否在$whitelist裡面,如果有那麼就返回true

總結來說

1.第一個if判斷是$是否設置了值或者是$page是否為字元串,如果不是返回false

2.第二個if判斷的是$page是否在$whitelist列表裡面如果在就返回true

3.第三個語句是截取$page問號前面的東西

4.第四個語句會對$page進行一次url編碼的解碼,加上瀏覽器就是兩次解碼

5.第五個語句還是截取$page問好前面的東西

6.最後一個語句判斷$page是否在$whitelist裡面

如果上面四個if語句都沒返回那麼就返回false

class emmm
4    {
5        public static function checkFile(&$page)
6        {
7            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
8            if (! isset($page) || !is_string($page)) {
9                echo "you can't see it";
10                return false;
11           }
12
13            if (in_array($page, $whitelist)) {
14                return true;
15            }
16
17            $_page = mb_substr(
18                $page,
19                0,
20                mb_strpos($page . '?', '?')
21            );
22            if (in_array($_page, $whitelist)) {
23                return true;
24            }
25
26            $_page = urldecode($page);
27            $_page = mb_substr(
28                $_page,
29                0,
30                mb_strpos($_page . '?', '?')
31            );
32            if (in_array($_page, $whitelist)) {
33                return true;
34            }
35            echo "you can't see it";
36            return false;
37        }
38    }

所以經過上面的判斷,payload應該是如下,測試其實不需要兩次編碼都可以,因為?的解碼還是?所以也可以直接/source.php?file=source.php?../../../../../../../../../../ffffllllaaaagggg

/source.php?file=source.php%253f../../../../../../../../../../ffffllllaaaagggg

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 環境 python 版本3.6.4 gevent 1.5.0 gunicorn 20.1.0 錯誤 RecursionError: maximum recursion depth exceeded while calling a Python object 錯誤原因 根據錯誤棧,出問題的代碼在pyt ...
  • 前言 **基礎篇鏈接:**https://www.cnblogs.com/xiegongzi/p/16229678.html 3.9、延遲隊列 - 重要 3.9.1、延遲隊列概念 這個玩意兒要表達的意思其實已經見過了,就是死信隊列中說的TTL消息過期,但是文字表達得換一下 所謂的延遲隊列:就是用來存 ...
  • AQS源碼探究 競爭鎖資源 我們進入ReentrantLock源碼中查看其內部類 Sync 對AQS進行擴展公共方法並定義抽象方法的抽象類 FaireSync 實現公平鎖的AQS的實現類 UnFairSync 實現非公平鎖的ASQ的實現類 我使用例子進行的debug,然後一步一步看源碼。例子在文章最 ...
  • 前言 大麥網是中國綜合類現場娛樂票務營銷平臺,業務覆蓋演唱會、 話劇、音樂劇、體育賽事等領域今天,我們要用代碼來實現他的購票過程 先來看看完成後的效果是怎麼樣的 對於本篇文章有疑問的同學可以加【資料白嫖、解答交流群:753182387】 開發環境 版 本:anaconda(python3.8.8) ...
  • 以前我們定義類都是用class關鍵詞,但從Java 16開始,我們將多一個關鍵詞record,它也可以用來定義類。record關鍵詞的引入,主要是為了提供一種更為簡潔、緊湊的final類的定義方式。 下麵就來具體瞭解record類的細節。配套視頻教程:Java 16 新特性:使用record聲明類 ...
  • Spring Ioc源碼分析系列--Ioc容器BeanFactoryPostProcessor後置處理器分析 前言 上一篇文章Spring Ioc源碼分析系列--Ioc源碼入口分析已經介紹到Ioc容器的入口refresh()方法,並且分析了refresh()方法裡面的前三個子方法分析了一下。還記得分 ...
  • Predicate<T>:常用的四個方法 boolean test(T t):對給定的參數進行判斷(判斷邏輯由Lambda表達式實現),返回一個布爾值 default Predicate<T>negate():返回一個邏輯的否定,對應邏輯非 default Predicate<T>and(Predi ...
  • 停更這些天,業餘時間和粉絲群的幾個大佬合作寫了一個基於Spring Authorization Server的OAuth2授權伺服器的管理控制台項目Id Server,我覺得這個項目能夠大大降低OAuth2授權伺服器使用難度。可以讓你很方便地去管理OAuth2客戶端信息,甚至可以一鍵生成OAuth2 ...
一周排行
    -Advertisement-
    Play Games
  • Timer是什麼 Timer 是一種用於創建定期粒度行為的機制。 與標準的 .NET System.Threading.Timer 類相似,Orleans 的 Timer 允許在一段時間後執行特定的操作,或者在特定的時間間隔內重覆執行操作。 它在分散式系統中具有重要作用,特別是在處理需要周期性執行的 ...
  • 前言 相信很多做WPF開發的小伙伴都遇到過表格類的需求,雖然現有的Grid控制項也能實現,但是使用起來的體驗感並不好,比如要實現一個Excel中的表格效果,估計你能想到的第一個方法就是套Border控制項,用這種方法你需要控制每個Border的邊框,並且在一堆Bordr中找到Grid.Row,Grid. ...
  • .NET C#程式啟動閃退,目錄導致的問題 這是第2次踩這個坑了,很小的編程細節,容易忽略,所以寫個博客,分享給大家。 1.第一次坑:是windows 系統把程式運行成服務,找不到配置文件,原因是以服務運行它的工作目錄是在C:\Windows\System32 2.本次坑:WPF桌面程式通過註冊表設 ...
  • 在分散式系統中,數據的持久化是至關重要的一環。 Orleans 7 引入了強大的持久化功能,使得在分散式環境下管理數據變得更加輕鬆和可靠。 本文將介紹什麼是 Orleans 7 的持久化,如何設置它以及相應的代碼示例。 什麼是 Orleans 7 的持久化? Orleans 7 的持久化是指將 Or ...
  • 前言 .NET Feature Management 是一個用於管理應用程式功能的庫,它可以幫助開發人員在應用程式中輕鬆地添加、移除和管理功能。使用 Feature Management,開發人員可以根據不同用戶、環境或其他條件來動態地控制應用程式中的功能。這使得開發人員可以更靈活地管理應用程式的功 ...
  • 在 WPF 應用程式中,拖放操作是實現用戶交互的重要組成部分。通過拖放操作,用戶可以輕鬆地將數據從一個位置移動到另一個位置,或者將控制項從一個容器移動到另一個容器。然而,WPF 中預設的拖放操作可能並不是那麼好用。為瞭解決這個問題,我們可以自定義一個 Panel 來實現更簡單的拖拽操作。 自定義 Pa ...
  • 在實際使用中,由於涉及到不同編程語言之間互相調用,導致C++ 中的OpenCV與C#中的OpenCvSharp 圖像數據在不同編程語言之間難以有效傳遞。在本文中我們將結合OpenCvSharp源碼實現原理,探究兩種數據之間的通信方式。 ...
  • 一、前言 這是一篇搭建許可權管理系統的系列文章。 隨著網路的發展,信息安全對應任何企業來說都越發的重要,而本系列文章將和大家一起一步一步搭建一個全新的許可權管理系統。 說明:由於搭建一個全新的項目過於繁瑣,所有作者將挑選核心代碼和核心思路進行分享。 二、技術選擇 三、開始設計 1、自主搭建vue前端和. ...
  • Csharper中的表達式樹 這節課來瞭解一下表示式樹是什麼? 在C#中,表達式樹是一種數據結構,它可以表示一些代碼塊,如Lambda表達式或查詢表達式。表達式樹使你能夠查看和操作數據,就像你可以查看和操作代碼一樣。它們通常用於創建動態查詢和解析表達式。 一、認識表達式樹 為什麼要這樣說?它和委托有 ...
  • 在使用Django等框架來操作MySQL時,實際上底層還是通過Python來操作的,首先需要安裝一個驅動程式,在Python3中,驅動程式有多種選擇,比如有pymysql以及mysqlclient等。使用pip命令安裝mysqlclient失敗應如何解決? 安裝的python版本說明 機器同時安裝了 ...