zoukankan      html  css  js  c++  java

  • buuctf-web(一)

    [HCTF 2018]热身

    首先点击打开靶机,发现只有一个表情包。

    然后便查看此网页的源代码,发现存在着一个source.php。之后打开是一大串Php代码,好,开始审计代码。

    <?php
        highlight_file(__FILE__);
        class emmm
        {
            public static function checkFile(&$page)
            {
                $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
                if (! isset($page) || !is_string($page)) {
                    echo "you can't see it";
                    return false;
                }

                if (in_array($page, $whitelist)) {
                    return true;
                }

                $_page = mb_substr(
                    $page,
                    0,
                    mb_strpos($page . '?', '?')
                );
                if (in_array($_page, $whitelist)) {
                    return true;
                }

                $_page = urldecode($page);
                $_page = mb_substr(
                    $_page,
                    0,
                    mb_strpos($_page . '?', '?')
                );
                if (in_array($_page, $whitelist)) {
                    return true;
                }
                echo "you can't see it";
                return false;
            }
        }

        if (! empty($_REQUEST['file'])
            && is_string($_REQUEST['file'])
            && emmm::checkFile($_REQUEST['file'])
        ) {
            include $_REQUEST['file'];
            exit;
        } else {
            echo "<br><img src="https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg" />";
        }  
    ?>

    在这里有两个文件,分别为:source.php和hint.php。进去hint.php里会有

     然后,回过来看source.php,经过审计你会发现需要三个条件:1 file不能为空。2 file内容是字符串。 3 checkfile函数返回值为true。进到Chekfile函数里,进行分析。有一个whitellist。还有第一个if是说page不为空值并且不能是字符串;第二个if的意思是表示page有没有包含在whitelist里;之后有两个函数:mb_substr和mb_strpos。截取?之后的字符串赋给page;还有一个if再一次表示说page有没有包含在whitelist里;然后又进行了urldecode解码。

    最后构造pyload。传递参数。要在目录里找到存放flag的地址ffffllllaaaagggg。而且问号上传的时候会自动进行解码。这里需要二重编码得到%253f。

    构造出pyload:file=source.php%253f/../../../../ffffllllaaaagggg

    得出最终flag
  • 相关阅读:
    KindEditor简单的Demo使用
    动态从数据库读取菜单(ASP.NET版)
    完全卸载sql2005
    关于在xp(sp3 专业版)下安装sql2005开发版图解
    新手上路Tomcat 7.x和JDK的配置
    关于IE6幽灵字体
    【译】写个好的 CLI 程序
    【译】通过 Rust 学习解析器组合器 — Part 1
    【译】PHP 内核 — zval 基础结构
    【译】PHP 内核 — 字符串管理
  • 原文地址:https://www.cnblogs.com/awsole/p/13675705.html
Copyright © 2011-2022 走看看